Gerenciadores de Senhas Menos Seguros do que Prometido

Pesquisadores do Applied Cryptography Group da ETH Zurich demonstraram 25 ataques em gerenciadores de senhas como Bitwarden (12), LastPass (7) e Dashlane (6), que juntos atendem aproximadamente 60 milhões de usuários. Os ataques comprometeram as garantias de "zero-knowledge encryption" dessas plataformas, operando um servidor malicioso que desviava do comportamento esperado do cliente durante ações rotineiras, como login, acesso ao vault e sincronização. Os vetores de ataque variaram desde violações direcionadas de integridade do vault até o comprometimento completo do vault organizacional.

Esses exploits não exigiram recursos computacionais significativos, mas sim um "tooling" leve de personificação de servidor. A causa raiz foi atribuída à complexidade de funcionalidades excessivas (feature-bloat) e à dependência de primitivas criptográficas obsoletas da década de 1990. Equipes de segurança devem avaliar fornecedores de gerenciadores de senhas com base em critérios como divulgação transparente de vulnerabilidades, auditorias de terceiros e criptografia de ponta a ponta moderna ativada por padrão, aguardando a publicação completa das descobertas na USENIX Security 2026.