Uno studio coordinato tra l’ETH Zurich e l’Università della Svizzera italiana (USI) solleva interrogativi importanti sulla sicurezza dei password manager cloud più diffusi.
Il lavoro, che sarà presentato alla conferenza USENIX Security 2026, vede tra gli autori due ricercatori della Facoltà di scienze informatiche dell’USI, la prof.ssa Matilda Backendal e il dottorando Giovanni Torrisi, insieme a Matteo Scarlata e il Prof. Kenneth G. Paterson dell’ETH Zurich.
I password manager permettono di salvare tutte le proprie password in un archivio cifrato, accessibile con un’unica password principale. Molti fornitori dichiarano di utilizzare la cosiddetta "zero knowledge encryption", garantendo che nemmeno l’azienda che gestisce il servizio possa leggere i dati degli utenti.
I ricercatori hanno analizzato tre piattaforme molto diffuse, Bitwarden, LastPass e Dashlane, che insieme contano oltre 60 milioni di utenti, includendo anche un’analisi di 1Password.
Simulando uno scenario in cui il server venga compromesso, il team ha individuato 27 possibili attacchi. In diversi casi, sarebbe teoricamente possibile accedere o modificare le password memorizzate.
La ricerca non mette in discussione la solidità della crittografia in sé, ma evidenzia che alcune scelte di progettazione possono creare vulnerabilità inattese. Secondo gli autori, è fondamentale comunicare in modo chiaro quali garanzie di sicurezza siano realmente offerte agli utenti e aggiornare i sistemi secondo standard crittografici moderni.
I risultati dello studio hanno suscitato una vasta eco mediatica a livello internazionale, attirando l’attenzione delle principali testate di settore (l’elenco della rassegna stampa è consultabile a questo link ).
L’obiettivo dello studio è contribuire a rendere più sicuri i servizi digitali che ogni giorno proteggono informazioni estremamente sensibili. A questo proposito, la Prof.ssa Matilda Backendal ha dichiarato: "Il nostro impegno è proseguire nello sviluppo di progetti di ricerca di alto profilo come questo, capaci di generare un impatto concreto sulla sicurezza digitale di milioni di persone in tutto il mondo".
Il lavoro completo, Zero Knowledge (About) Encryption: A Comparative Security Analysis of Three Cloud-based Password Managers , sarà presentato a USENIX Security 2026 ed è già disponibile sulla piattaforma IACR ePrint.
