Менеджери паролів не пройшли випробування на безпечність

Дмитро Сизов 3 марта 2026 10:00

Відстеження вимог до паролів, таких як поєднання великих і малих літер, цифр, спеціальних символів тощо – не лише для запам’ятовування, а й для зміни кожні кілька місяців – є складним завданням, тим більше, що платформи закликають користувачів переконатися, що кожен пароль унікальний.

Цей головний біль відкрив двері до сервісів менеджерів паролів, які обіцяють користувачам безпечне хмарне сховище для їхніх численних облікових даних для входу за одним захищеним паролем шлюзом, зазвичай зашифрованим «сховищем».

Але тепер, за даними Федерального технологічного інституту (ETH) Цюриха, де дослідники працювали з колегами з Італійського університету Швейцарії в Лугано, щоб протестувати три популярні платформи, ці менеджери паролів виявилися «менш безпечними, ніж обіцяли».

Команда виявила «серйозні вразливості безпеки», що означало, що вони «змогли переглядати та навіть вносити зміни до збережених паролів».

Деякі системи, схоже, використовували криптографію епохи 1990-х років, що потенційно робило їх легкою здобиччю для хакерів, які використовують сучасне програмне забезпечення.

«Для таких атак не потрібні особливо потужні комп’ютери чи сервери – лише невеликі програми, здатні видавати себе за сервер», – сказав Маттео Скарлата з ETH.

«Через великий обсяг конфіденційних даних, які вони містять, менеджери паролів, ймовірно, є цілями для досвідчених хакерів, які здатні проникнути на сервери та розпочати атаки звідти», – сказав Кеннет Патерсон, професор інформатики в ETH Zurich.

Дослідники заявили, що зв’язалися з постачальниками, щоб надати їм 90 днів на виправлення нещодавно виявлених вразливостей, перш ніж публікувати свої висновки.

Деякі платформи вагалися з оновленням своїх засобів захисту, побоюючись, що вони можуть позбавити своїх клієнтів, серед яких тисячі компаній та приватних осіб, доступу до паролів на тлі таких змін.

«Здебільшого, постачальники були готові співпрацювати та вдячні, але не всі були такими ж швидкими, коли справа доходила до виправлення вразливостей безпеки», – сказав Патерсон. – dpa