Falle nella sicurezza dei gestori di password

Sono tre gestori di password molto popolari, usati in totale da circa 60 milioni di utenti. Bitwarden, LastPass e Dashlane si appoggiano sul cloud e vantano la cosiddetta “Zero Knowledge Encryption”, ovvero la promessa che le password archiviate siano criptate in modo tale da risultare inaccessibili persino alle aziende stesse.

Una promessa messa alla prova da ricercatori dell’Università della Svizzera italiana e del Politecnico federale di Zurigo, che hanno studiato la sicurezza di questi servizi contro attacchi informatici, identificando dei punti deboli.

Le vulnerabilità riguardano, tra l’altro, le procedure di recupero degli account, la condivisione delle password con altri utenti e l’impiego di metodi di crittografia ormai obsoleti, ancora presenti nel sistema per garantire la compatibilità con le versioni più vecchie del software. Nella maggior parte dei casi, i ricercatori sono riusciti a ottenere pieno accesso alle password memorizzate e persino a manipolarle.

La sicurezza dei gestori di password sotto la lente (Espresso. SRF, 18.02.2026)

Non è la crittografia in sé a essere violata: è stato possibile compromettere il server di un password manager inducendo l’applicazione installata localmente a inviare le password al server in un formato che permette di decifrarle con una chiave propria. Per farlo, sono sufficienti operazioni comuni, come effettuare l’accesso, aprire il proprio archivio di password o sincronizzare i dati. E non servono computer particolarmente potenti.

Secondo Matteo Scarlata, del Politecnico di Zurigo, violare il server di un password manager non è per niente semplice. Per la maggior parte dei criminali informatici è molto più facile ottenere una password tramite phishing o altri stratagemmi.

Le tecniche descritte nello studio sono quindi più alla portata pirati informatici esperti, che potrebbero agire su incarico e con il supporto di uno Stato o di un servizio segreto.

Tuttavia, chi riesce ad accedere a un server può sottrarre un numero di password di gran lunga superiore rispetto a quanto possibile con singoli attacchi di phishing. Inoltre, secondo i ricercatori, falle di sicurezza analoghe potrebbero essere presenti anche in altri password manager oltre a quelli analizzati.

Che i server dei password manager non siano invulnerabili lo dimostra la storia recente. Nel 2022, criminali informatici hanno avuto completo accesso ai server di LastPass per quasi tre mesi. All’epoca non riuscirono a ottenere password non crittografate, ma con i metodi usati dai ricercatori sarebbe stato possibile.

Prima di pubblicare lo studio, i ricercatori hanno informato le aziende e concesso loro 90 giorni per correggere le vulnerabilità. Secondo gli autori, Bitwarden è quello che ha fatto i progressi maggiori, mentre per LastPass resterebbe ancora molto lavoro da fare.

Non per questo bisogna rinunciare a un gestore di password, secondo Scarlata. Questi sistemi restano infatti uno dei modi migliori per aumentare la propria sicurezza online. Bisogna però verificare che il proprio fornitore abbia davvero corretto le falle individuate.

Inoltre, è consigliabile non affidarsi solo alle password, ma proteggersi ulteriormente con l’autenticazione a due fattori o con i passkey, per esempio tramite codice SMS, impronta digitale o chiavetta di sicurezza USB.