過去 15 年間で、パスワード マネージャーは、技術オタクが使用するニッチなセキュリティ ツールから、一般の人々にとって不可欠なセキュリティ ツールに成長し、推定 9,400 万人のアメリカ成人 (そのうちの約 36%) がパスワード マネージャーを採用しています。年金、金融、メールアカウントのパスワードだけでなく、暗号通貨の認証情報、支払いカード番号、その他の機密データも保存されます。

上位 8 社のパスワード マネージャーはすべて、ユーザーがサーバーに保存しているデータ保管庫を保護するために使用する複雑な暗号化システムを説明するために「ゼロ知識」という用語を採用しています。定義はベンダーによって若干異なりますが、一般に、それらは 1 つの大胆な保証に要約されます。クラウド インフラストラクチャを侵害することに成功した悪意のある内部関係者やハッカーが、ボールトやそこに保存されているデータを盗む方法はありません。 LastPass の過去の侵害と、国家レベルのハッカーが高価値ターゲットに属するパスワード保管庫を入手する動機と能力の両方を持っているという合理的な予想を考慮すると、これらの約束は理にかなっています。

大胆な保証は拒否された

このうち、約 6,000 万人が利用する Bitwarden、Dashlane、LastPass が具体的な主張を行っています。たとえば、Bitwarden は、「Bitwarden チームですら、データを読み込むことはできません (たとえ読みたくても)」と述べています。一方、Dashlane は、ユーザーのマスター パスワードがなければ、「たとえ Dashlane のサーバーが侵害されたとしても、悪意のある攻撃者は情報を盗むことができない」と述べています。 LastPass は、「あなた以外の誰も (LastPass も含めて) LastPass Vault に保存されているデータにアクセスすることはできません。」と述べています。

新しい調査によると、これらの主張はすべての場合に当てはまるわけではなく、特にアカウントの回復が進行中である場合や、パスワード マネージャーがボールトを共有するように設定されている場合、またはユーザーをグループに編成するように設定されている場合には当てはまります。研究者たちは、Bitwarden、Dashlane、LastPass をリバース エンジニアリングまたは綿密に分析し、サーバーを制御している者が (管理上、または侵害の結果として) データを実際に盗み、場合によっては保管庫全体を盗むことができる方法を特定しました。研究者らは、暗号文を平文に変換できる程度に暗号化を弱める可能性のある他の攻撃も考案しました。