研究揭示 25 种云密码管理器密码恢复攻击

一项新研究发现，多款基于云的密码管理器（包括 Bitwarden、Dashlane 和 LastPass）在特定条件下易受密码恢复攻击。

研究人员 Matteo Scarlata、Giovanni Torrisi、Matilda Backendal 和 Kenneth G. Paterson 表示：“这些攻击的严重程度从完整性违规到组织内所有保险库的完全泄露不等。大多数攻击都能够恢复密码。”

值得注意的是，根据 ETH Zurich 与瑞士意大利语大学的研究，威胁行为者假设存在恶意服务器，旨在检验这三款密码管理器对零知识加密（ZKE）的承诺。零知识加密是一种密码技术，使一方能够向另一方证明自己掌握某个秘密，而不实际泄露该秘密。

零知识加密与端到端加密（E2EE）略有不同。E2EE 侧重于在传输过程中保护数据，而 ZKE 主要用于以加密形式存储数据，使只有持有密钥的人才能访问。密码管理器厂商通常实现 ZKE，以“增强”用户隐私和安全，确保保险库数据不可被篡改。

然而，最新研究发现了针对 Bitwarden 的 12 种、LastPass 的 7 种以及 Dashlane 的 6 种不同攻击手段，范围从针对特定用户保险库的完整性违规到组织所有保险库的完全泄露。这些密码管理解决方案共服务超过 6000 万用户和近 12.5 万家企业。

研究人员在随附论文中指出：“尽管厂商努力在此环境中实现安全，但我们发现了多种常见的设计反模式和密码学误解，导致了漏洞的产生。”

这些攻击可归为四大类：

• 利用“密钥托管”（Key Escrow）账户恢复机制的攻击，破坏 Bitwarden 和 LastPass 的机密性保证，源于其密钥托管设计中的漏洞。
• 利用项目级加密缺陷的攻击——即将数据项和敏感用户设置分别加密且常伴随未加密或未认证的元数据，导致完整性违规、元数据泄露、字段交换以及密钥派生函数（KDF）降级。
• 利用共享功能的攻击，破坏保险库的完整性和机密性。
• 利用对旧版代码的向后兼容性进行的攻击，导致 Bitwarden 和 Dashlane 的降级攻击。

研究还发现，另一流行的密码管理器 1Password 同时存在项目级保险库加密和共享攻击的漏洞。不过，1Password 将其归因于已知的架构限制。

Summary of attacks (BW stands for Bitwarden, LP for LastPass, and DL for Dashlane)

在接受采访时，1Password 的首席信息安全官兼首席信息官 Jacob DePriest 向 The Hacker News 表示，公司安全团队已详细审阅了该论文，未发现除其公开的《安全设计白皮书》中已记录的攻击向量之外的新增漏洞。

他补充道：“我们致力于不断强化我们的安全架构，并根据高级威胁模型（包括研究中描述的恶意服务器情景）进行评估和演进，以保持用户赖以依赖的防护。”

例如，1Password 使用安全远程密码（Secure Remote Password，SRP）协议在不向服务器传输加密密钥的情况下对用户进行身份验证，从而帮助缓解整类服务器端攻击。最近，我们还为企业管理的凭证引入了新功能，这些凭证从创建起即被加密以抵御复杂威胁。

至于其他产品，Bitwarden、Dashlane 和 LastPass 已全部实施对策以降低研究中指出的风险，LastPass 还计划加强管理员密码重置和共享工作流，以应对恶意中间人的威胁。目前尚无证据表明这些问题已在野外被利用。

具体而言，Dashlane 已修补了一个漏洞：若其服务器被成功攻破，攻击者可能将用于生成加密密钥和保护用户保险库的加密模型降级。该问题已通过在 2025 年 11 月发布的 Dashlane Extension 6.2544.1 版本中移除对旧加密方法的支持而得到修复。

Dashlane 表示：“此降级可能导致弱或易猜测的主密码被破解，以及单个‘降级’的保险库项目被泄露。该问题源于对旧加密的支持，旧加密在某些情况下被保留以实现向后兼容和迁移灵活性。”

Bitwarden 表示，所有已识别的问题均在处理，其中七项已解决或正在积极修复，其余三项被视为为实现产品功能而作出的有意设计决策。

LastPass 也表示，正在积极添加更强的完整性保证，以在密码学上更好地绑定项目、字段和元数据，从而提升完整性保障。