Se c’è una promessa che il marketing dei password manager ha trasformato in un mantra, è quella della zero-knowledge encryption: “i vostri dati sono cifrati end-to-end, nemmeno noi sappiamo cosa custodite nel vault”.

Una garanzia che ha convinto milioni di utenti e migliaia di aziende ad affidare a questi servizi cloud le credenziali più critiche, tra cui accessi a sistemi bancari, piattaforme aziendali e infrastrutture IT.

Lo scorso 16 febbraio 2026, l’Applied Cryptography Group del Politecnico federale di Zurigo (ETH Zurich)[1] ha pubblicato una ricerca che sta scuotendo il settore. Il paper “Zero Knowledge (About) Encryption: A Comparative Security Analysis of Three Cloud-based Password Managers”[2] verrà presentato alla conferenza USENIX Security 2026 e rappresenta il primo studio sistematico sull’architettura crittografica dei principali password manager cloud-based[3].

Il titolo gioca volutamente con le parole: zero knowledge non indica solo la promessa commerciale, ma la reale conoscenza (o meglio: la mancanza di essa) che i fornitori dimostrano circa la sicurezza dei loro stessi sistemi.

Come funziona l’attacco: il malicious server threat model

Per comprendere la portata della ricerca è necessario capire il modello di attacco adottato dai ricercatori. In particolare, il team di ricerca ha simulato uno scenario in cui un server del password manager risulta compromesso e stiamo parlando di una condizione non solo teorica, considerato che LastPass ha subito una violazione significativa dei propri sistemi nel 2022 che ha portato alla compromissione di dati cifrati degli utenti.

Il presupposto è il cosiddetto malicious server threat model: in pratica, il server è in mano a un attaccante che può deviare arbitrariamente dal comportamento atteso e interagire in modo malevolo con i client degli utenti (browser extension, app mobile, client desktop). I ricercatori hanno quindi configurato server propri che si comportavano come versioni compromesse dei password manager originali.

La cosa sorprendente e preoccupante è che non sono stati necessari exploit sofisticati: gli attacchi sfruttano interazioni di routine come il semplice login all’account, l’apertura del vault, la visualizzazione di una password o la sincronizzazione dei dati tra dispositivi, azioni che ogni utente compie più volte al giorno.

La radice del problema: funzionalità vs. sicurezza crittografica

“Siamo rimasti sorpresi dalla gravità delle vulnerabilità”, ha dichiarato il professor Kenneth Paterson, titolare della cattedra di Computer Science all’ETH Zurich. Una sorpresa che ha una spiegazione precisa: i password manager sono tra i pochi servizi cloud che promettono cifratura end-to-end e ci si aspettava che proprio per questa ragione il loro codice fosse sottoposto a un livello di scrutinio crittografico superiore alla media. Ma, evidentemente, così non è stato.

La causa principale identificata dai ricercatori è una tensione strutturale tra usabilità e sicurezza. Le aziende sviluppatrici investono molto nell’aggiungere funzionalità che rendono il servizio più comodo: recupero dell’account in caso di perdita della master password, condivisione del vault con familiari o colleghi, sincronizzazione multi-dispositivo, piani Enterprise con gestione centralizzata degli accessi.

Ciascuna di queste funzionalità introduce nuovi flussi crittografici, nuove interazioni tra client e server, nuovi percorsi di codice che espandono la superficie d’attacco. “Il codice diventa più complesso e confuso, e amplia i potenziali vettori per gli hacker”, spiega Matteo Scarlata, dottorando dell’Applied Cryptography Group che ha condotto parte degli attacchi.

Un ulteriore problema è l’inerzia tecnologica: molti provider continuano a usare primitive crittografiche degli anni ’90, obsolete secondo gli standard attuali, con la motivazione dichiarata che gli aggiornamenti possano impedire ai clienti di accedere ai propri dati.

Un timore comprensibile perché perdere l’accesso a migliaia di credenziali aziendali sarebbe catastrofico, ma che non può giustificare indefinitamente l’uso di crittografia vulnerabile.

Bitwarden, LastPass, Dashlane: il quadro specifico

I ricercatori hanno ovviamente seguito il processo di responsible disclosure contattando i tre provider 90 giorni prima della pubblicazione dei risultati della loro ricerca.

Bitwarden, LastPass e Dashlane hanno risposto in modo cooperativo, ma con tempi di remediation diversi e non tutte le vulnerabilità risultano corrette al momento della pubblicazione della ricerca.

Tutti i dettagli tecnici sono disponibili nel paper di ricerca, di seguito riportiamo una sintesi sui dati più importanti:

• Bitwarden, 12 vulnerabilità. Bitwarden, il più popolare tra i password manager open source e molto diffuso in ambito Enterprise grazie alla sua opzione self-hosted, presenta il maggior numero di vulnerabilità documentate: 12. La nature open source del codice non ha impedito queste falle, a dimostrazione che la trasparenza del codice non è sufficiente senza un’analisi crittografica formale sistematica.
• LastPass, 7 vulnerabilità. LastPass si conferma ancora una volta sotto i riflettori negativi. I 7 attacchi documentati includono scenari di compromissione completa del vault. Il precedente storico rende questa notizia particolarmente significativa per le organizzazioni che non hanno ancora migrato a soluzioni alternative.
• Dashlane, 6 vulnerabilità. Spesso considerato il password manager più orientato alla sicurezza tra i tre, presenta 6 vulnerabilità. Meno degli altri, ma sufficiente a dimostrare che nessun provider analizzato può attualmente garantire le promesse di sicurezza assoluta presenti nei propri materiali di marketing.

Implicazioni per aziende e professionisti: cosa cambia davvero

Prima di cedere al panico e di cancellare in massa gli account sui password manager è necessario inquadrare correttamente la portata della ricerca.

Le vulnerabilità documentate richiedono che un attaccante abbia già compromesso i server del provider. Non si tratta di exploit eseguibili da remoto senza accesso all’infrastruttura, né di falle nel client locale.

Questo, tuttavia, non riduce la gravità del problema per due ragioni fondamentali. Innanzitutto, gli attacchi ai server di password manager sono già avvenuti (LastPass 2022 docet) e rappresentano target ad alto valore per gruppi APT e criminali organizzati.

La seconda ragione è la promessa zero-knowledge su cui si basa l’intera proposta di valore di questi servizi e che presuppone che anche un server compromesso non metta a rischio i dati degli utenti. Questa promessa è ora formalmente falsificata.

Cosa fare: guida pratica per utenti, aziende e team IT

Per gli utenti individuali

Il professor Paterson raccomanda di scegliere un password manager che sia trasparente riguardo alle vulnerabilità, sottoposto ad audit esterni regolari e con la cifratura end-to-end abilitata per impostazione predefinita.

Di seguito riportiamo anche alcuni criteri concreti per orientare la scelta:

• Preferire provider che pubblicano regolarmente report di audit di terze parti (es. Cure53, NCC Group, Trail of Bits).
• Verificare che la cifratura E2E sia attiva di default, non come funzionalità opzionale.
• Valutare soluzioni self-hosted (es. Bitwarden self-hosted, Vaultwarden) se avete le competenze tecniche per gestirle: eliminano il vettore “server compromesso dal provider”.
• Abilitare l’autenticazione a più fattori (MFA) sul vault: non risolve le vulnerabilità strutturali, ma riduce significativamente il rischio di accesso non autorizzato.
• Utilizzare master password robuste e uniche, ossia non riutilizzate altrove.

Per i team IT e i responsabili della sicurezza

• Audit dell’inventario: censire tutti i password manager in uso (sia approvati che shadow IT).
• Classificazione del rischio: le credenziali di sistemi critici (directory, firewall, cloud IAM) non dovrebbero essere esclusivamente protette da password manager cloud-based senza controlli aggiuntivi.
• Segmentazione delle credenziali: usare soluzioni enterprise on-premise o PAM (Privileged Access Management) per le credenziali privilegiate, riservando i password manager cloud agli accessi meno sensibili.
• Formazione: comunicare internamente la notizia evitando allarmismo eccessivo, ma sensibilizzando sulla natura reale delle garanzie offerte dai vendor.
• Monitoring: implementare alerting su accessi anomali ai vault aziendali.

I CISO dovrebbero eseguire un risk assessment immediato

1. Inventariate quali password manager cloud-based sono in uso nella vostra organizzazione.
2. Verificate se tra i provider in uso figurano Bitwarden (cloud), LastPass o Dashlane.
3. Valutate se avete abilitato funzionalità di sharing, family/team plan o recovery account: queste aumentano la superficie d’attacco.
4. Richiedete ai vendor una comunicazione ufficiale sulle patch rilasciate in risposta alla ricerca ETH.
5. Considerare un audit crittografico formale del password manager aziendale se trattate dati critici o regolamentati (NIS2, GDPR, settore bancario/sanitario).

La proposta dei ricercatori: modernizzare la crittografia

Il team ETH non si è limitato a documentare le vulnerabilità, ma ha fornito indicazioni concrete per migliorare la sicurezza del settore.

La proposta centrale di Scarlata è pragmatica: aggiornare gradualmente i sistemi per i nuovi clienti secondo gli standard crittografici più recenti, in particolare l’adozione di schemi autenticati e resistenti alla manipolazione come AEAD (Authenticated Encryption with Associated Data) in modalità binding robuste. È importante, inoltre, abbandonare le primitive crittografiche legacy degli anni ’90.

Per i clienti esistenti, la proposta è offrire una migrazione volontaria al nuovo sistema, con piena trasparenza sulle vulnerabilità del sistema attuale. Un approccio che rispetta sia le esigenze di continuità del servizio sia il diritto degli utenti di fare scelte informate.

“Vogliamo che il nostro lavoro contribuisca a cambiare questo settore”, ha dichiarato Paterson. “I provider di password manager non dovrebbero fare false promesse ai propri clienti riguardo alla sicurezza, ma comunicare in modo più chiaro e preciso quali garanzie le loro soluzioni offrono davvero.”

È un principio che va ben oltre i password manager: si applica a qualsiasi prodotto di sicurezza che fa marketing basato su garanzie crittografiche. Trasparenza, audit indipendenti e standard aggiornati non sono optional: sono precondizioni per la fiducia.

I password manager restano utili, ma le promesse vanno ridimensionate

I password manager rimangono strumenti preziosi e, per la maggior parte degli utenti, rappresentano un significativo miglioramento rispetto all’alternativa di usare password deboli o riutilizzate. Nulla in questa ricerca suggerisce di abbandonarli in massa.

Quello che cambia – e che deve cambiare – è il contesto di fiducia. Le promesse di sicurezza assoluta, di zero-knowledge totale, di “nemmeno noi possiamo accedere ai vostri dati” devono essere sostituite da comunicazioni più oneste, audit pubblici regolari e aggiornamenti crittografici sistematici.

Come professionisti della sicurezza, dobbiamo trasmettere ai nostri clienti e stakeholder un messaggio equilibrato: i password manager sono strumenti con un profilo di rischio specifico, come qualsiasi altro strumento.

Comprenderlo ci rende più sicuri, non meno.

[1] ETH Zurich: “Password managers less secure than promised”.

[2] Scarlata M, Torrisi G, Backendal M, Paterson K: “Zero Knowledge (About) Encryption” — USENIX Security 2026, preprint.

[3] Sito del progetto di ricerca.