За последние 15 лет менеджеры паролей превратились из нишевого инструмента, популярного у технических специалистов, в обязательный элемент цифровой безопасности для миллионов обычных пользователей. Сегодня около 94 миллионов взрослых американцев — примерно 36 процентов — используют такие сервисы. Они хранят не только пароли от банковских и электронных аккаунтов, но и данные криптовалютных кошельков, номера карт и другую конфиденциальную информацию.

Все восемь ведущих менеджеров паролей используют термин «нулевое разглашение» (zero-knowledge), описывая им сложные системы шифрования, защищающие данные пользователей на их серверах. Формулировки отличаются, но суть одна — ни внутренние сотрудники, ни хакеры, взломавшие облачную инфраструктуру, не могут получить доступ к хранилищам или прочитать сохранённую информацию. Такие обещания особенно важны после инцидентов вроде взлома LastPass и с учётом того, что государственные хакеры могут целенаправленно атаковать владельцев ценных учётных данных.

Заверения под сомнением

Типичные заявления делают такие компании, как Bitwarden, Dashlane и LastPass, которыми пользуются в совокупности около 60 миллионов человек. Bitwardен (Bitwarden), например, утверждает: «Даже команда Bitwarden не сможет прочитать ваши данные — даже если бы захотела». Dashlane заявляет, что без главного пароля злоумышленники не получат доступ к информации, даже если скомпрометируют серверы. LastPass говорит, что к данным в хранилище может получить доступ только сам пользователь — «даже LastPass не может этого сделать».

Over the past 15 years, password managers have grown from a niche security tool used by the technology savvy into an indispensable security tool for the masses, with an estimated 94 million US adults—or roughly 36 percent of them—having adopted them. They store not only passwords for pension, financial, and email accounts, but also cryptocurrency credentials, payment card numbers, and other sensitive data.

All eight of the top password managers have adopted the term “zero knowledge” to describe the complex encryption system they use to protect the data vaults that users store on their servers. The definitions vary slightly from vendor to vendor, but they generally boil down to one bold assurance: that there is no way for malicious insiders or hackers who manage to compromise the cloud infrastructure to steal vaults or data stored in them. These promises make sense, given previous breaches of LastPass and the reasonable expectation that state-level hackers have both the motive and capability to obtain password vaults belonging to high-value targets.

A bold assurance debunked

Typical of these claims are those made by Bitwarden, Dashlane, and LastPass, which together are used by roughly 60 million people. Bitwarden, for example, says that “not even the team at Bitwarden can read your data (even if we wanted to).” Dashlane, meanwhile, says that without a user’s master password, “malicious actors can’t steal the information, even if Dashlane’s servers are compromised.” LastPass says that no one can access the “data stored in your LastPass vault, except you (not even LastPass).”

Read full article

Comments