Un nuevo estudio de investigadores de ETH Zurich y Universita della Svizzera Italiana revela que la práctica de la encriptación de cero conocimientos en los gestores de contraseñas no es tan infalible como se pensaba. Aunque estos servicios, como LastPass, Bitwarden y Dashlane, afirman que solo el usuario tiene acceso a sus contraseñas, la investigación ha encontrado múltiples vulnerabilidades que podrían comprometer esta seguridad.
Los expertos realizaron un análisis exhaustivo y descubrieron "una abundancia de ataques prácticos" que permiten la recuperación de contraseñas, lo cual es precisamente lo que estos gestores buscan proteger. Estos ataques aprovechan fallas en los mecanismos de escrow de claves de los gestores, donde se generan claves cuando un administrador invita a un nuevo miembro o restablece un código de acceso olvidado.
El estudio destaca que el cifrado resultante no siempre es verificado por su integridad, lo que permitiría a un atacante sustituir una clave original por una propia, facilitando así el acceso a un almacén compartido de contraseñas. Esta manipulación de claves podría llevar a la extracción de información sensible y a la modificación directa de elementos dentro del gestor de contraseñas.