Un studiu recent, publicat în februarie 2026, a scos la iveală vulnerabilități semnificative în sistemele de stocare a parolelor bazate pe tehnologia de criptare „zero-knowledge”, utilizate de populari manageri de parole din cloud precum Bitwarden, LastPass și Dashlane. Deși aceste platforme sunt recunoscute pentru promisiunea unui nivel înalt de securitate și confidențialitate, cercetările indică faptul că, în anumite condiții, acestea pot fi expuse riscului de recuperare a parolelor, și chiar de compromitere totală a seifurilor digitale din cadrul organizațiilor.

### Vulnerabilități legate de criptarea „zero-knowledge”

Criptarea „zero-knowledge” (ZKE) reprezintă o metodă avansată de protecție, în care furnizorul serviciului nu are acces la datele utilizatorului, acestea fiind criptate în așa fel încât doar utilizatorul deține cheia de decriptare. Modelul se diferențiază de criptarea end-to-end (E2EE), care asigură protecție în timpul transmiterii datelor, optând pentru siguranța la nivelul stocării. În cazul acestor platforme, însă, cercetătorii au analizat scenarii în care infrastructura furnizorului ar putea fi compromisă sau ar putea acționa abuziv, iar rezultatele sunt alarmante.

Conform studiului, au fost identificate 25 de scenarii diferite de atac, împărțite între platformele Bitwarden, LastPass și Dashlane, toate fiind utilizate frecvent de peste 60 de milioane de utilizatori și circa 125.000 de companii din întreaga lume. Cei cercetători au evidențiat patru categorii principale de vulnerabilități, printre care exploatarea mecanismelor de recuperare a contului „key escrow”, problema criptării la nivel de elemente individuale, vulnerabilități în funcțiile de partajare și atacuri de tip downgrade generate de compatibilitatea cu metode criptografice mai vechi.

### Reacția companiilor și măsurile de siguranță

Deși vulnerabilitățile au fost identificate, reprezentanții acestor companii nu au rămas indiferenți. În cazul 1Password, de exemplu, compania a declarat că aceste limitări arhitecturale sunt deja documentate și că nu au fost descoperite noi vectori de atac față de informațiile publice existente. „Utilizăm protocolul Secure Remote Password (SRP), ceea ce ne permite să autentificăm utilizatorii fără a transmite cheile de criptare către servere, reducând riscul expunerii la atacuri server-side”, au mai explicat reprezentanții.

Dashlane a fost rapid în a anunța că a eliminat suportul pentru metode criptografice învechite în actualizarea recentă a extensiei sale, pentru a evita atacurile de downgrade care ar putea compromite parolele principale. În cazul Bitwarden și LastPass, compania a asigurat că lucrează intens la remedieri, iar majoritatea vulnerabilităților sunt deja în proces de remediere sau au fost erectate ca parte a deciziilor de proiectare, considerând aceste soluții necesare pentru funcționarea produselor.

### Provocări în implementarea tehnologiilor criptografice

Deși, până în prezent, nu există dovezi clare de atacuri reale care să fi exploatat aceste vulnerabilități, studiul întărește ideea că implementarea corectă a criptării zero-knowledge este extrem de complexă. În condițiile în care infrastructura serverului nu poate fi considerată complet de încredere, menținerea unui nivel înalt de securitate necesită o reevaluare constantă a arhitecturii și a standardelor de criptare. În aceste condiții, evoluțiile recente indică faptul că toate aceste platforme trebuie să-și intensifice eforturile de adaptare și îmbunătățire pentru a păstra încrederea utilizatorilor și pentru a face față noilor provocări din domeniul securității cibernetice.

Indiferent de pașii deja făcuți, următorii ani vor fi cruciali pentru modelele de protecție a datelor sensibile în ecosistemul de gestionare a parolelor, pe măsură ce tehnologia avansează și atacurile devin tot mai sofisticate. Rămâne de văzut dacă și în ce măsură aceste platforme vor reuși să contracareze vulnerabilitățile descoperite și să păstreze promisiunea unui sistem sigur, care protejează confidențialitatea utilizatorilor într-o lume digitală tot mai expusă riscurilor.