Топовые менеджеры паролей Bitwarden, Dashlane и LastPass обнаружены с критическими уязвимостями
Обширное исследование ИТ-трендов в России на 2026 год показало, что вопросы кибербезопасности и защиты пользовательских данных остаются в центре внимания специалистов. Особенно остро это проявляется в области облачных менеджеров паролей, которые стали неотъемлемым инструментом как для частных пользователей, так и для корпоративных клиентов. В последние годы такие платформы, как Bitwarden, Dashlane и LastPass, завоевали значительную долю рынка — их совокупное количество пользователей превышает 60 миллионов, а доля на рынке составляет около 23%. Однако недавние академические исследования выявили ряд критических уязвимостей, ставящих под угрозу конфиденциальность и целостность данных, хранящихся в этих сервисах.
Исследование, проведенное совместно специалистами Федерального технологического института Цюриха (ETH Zurich) и Итальянского университета Швейцарии (Università della Svizzera italiana), показало, что даже системы с шифрованием «с нулевым разглашением» (Zero-Knowledge Encryption) не дают абсолютной гарантии безопасности. Принцип работы такого шифрования заключается в том, что все данные пользователя шифруются локально на устройстве, а ключи шифрования никогда не покидают клиентское устройство и недоступны для провайдера. Это должно было исключать возможность доступа к паролям даже при компрометации серверов. Однако исследователи выявили, что при определенных условиях злоумышленники могут извлечь пароли из хранилищ и даже изменять их, обходя предполагаемые защитные механизмы.
Эксперты выделили несколько основных методов атак на популярные менеджеры паролей. Первый тип — атаки на механизм депонирования ключей, используемый в Bitwarden и LastPass. Уязвимости в системах депонирования ключей позволяют злоумышленнику обойти защиту конфиденциальности, получив доступ к зашифрованным данным. Второй метод связан с недостатками на уровне шифрования отдельных элементов данных, что характерно для Bitwarden, Dashlane и LastPass. В частности, это касается шифрования отдельных объектов и пользовательских настроек, иногда в сочетании с незашифрованными метаданными, что открывает возможности для утечек и подмены информации, а также снижает эффективность ключевых функций формирования ключей (KDF).
Третий тип атак связан с функциями совместного доступа, предоставляемыми менеджерами паролей. Такие функции позволяют пользователям делиться данными с другими участниками, но при неправильной реализации они могут стать источником угроз для целостности и конфиденциальности хранилища. Четвертый тип атак — использование обратной совместимости с устаревшим кодом, что создает возможность для снижения уровня безопасности, особенно в Bitwarden и Dashlane.
Помимо этих сервисов, исследование также коснулось 1Password, еще одного известного менеджера паролей. Несмотря на выявленные уязвимости, компания заявила, что большинство проблем уже известны и учитываются в их архитектуре, и пообещала продолжить укрепление системы безопасности.
После публикации исследования разработчики Bitwarden, Dashlane и LastPass начали предпринимать меры по устранению уязвимостей. Например, LastPass планирует усилить механизмы сброса административных паролей и управления общим доступом к данным, а Dashlane уже прекратил поддержку устаревших методов криптографии, что делает атаки на понижение уровня безопасности невозможными. Bitwarden также работает над улучшением своих механизмов защиты и исправлением выявленных проблем.
Этот случай демонстрирует, что даже самые популярные и широко используемые облачные менеджеры паролей не могут считаться полностью защищенными. Пользователи должны осознавать риски, применять дополнительные меры безопасности, такие как двухфакторная аутентификация, регулярная проверка устройств на наличие угроз и использование сложных уникальных паролей. Кроме того, корпоративные клиенты должны регулярно отслеживать обновления и рекомендации от поставщиков сервисов для предотвращения потенциальных атак.
Ситуация с уязвимостями в облачных менеджерах подчеркивает необходимость постоянного совершенствования технологий шифрования и усиления систем киберзащиты. Российский рынок ИТ в 2026 году демонстрирует рост интереса к внутренним разработкам ВКС-платформ и инструментов для безопасного обмена данными, что позволяет частично снизить зависимость от зарубежных решений. Однако ключевой вывод остается неизменным: доверие к облачным сервисам должно сочетаться с осознанным подходом к безопасности и регулярным мониторингом угроз.
