Password managers são ótimos — e continuam sendo uma das melhores defesas contra reutilização de senha.
Mas uma pesquisa recente mostra que a promessa de “zero knowledge” (conhecimento zero) pode falhar em cenários específicos, principalmente quando recursos como recuperação de conta, grupos e compartilhamento estão habilitados.
Aqui vai o que a notícia afirma com segurança e um checklist prático para reduzir risco sem paranoia.

🧠 O que aconteceu

Password managers saíram do nicho e viraram ferramenta básica de segurança para milhões de pessoas. Eles guardam bem mais do que senhas: dados bancários, e-mails, cartões e até credenciais de cripto. E, para tranquilizar o usuário, quase todos os grandes fornecedores adotaram o termo “zero knowledge” (sem sua senha ninguém abre) para dizer, em resumo: “nem a empresa consegue ver seu cofre — e mesmo que o servidor seja comprometido, o atacante não consegue ler”.

A matéria traz um choque de realidade: uma pesquisa de pesquisadores da ETH Zurich e da USI Lugano analisou Bitwarden, Dashlane e LastPass e descreveu 25 ataques em um modelo de ameaça específico: quando o servidor (ou quem controla o servidor) se comporta de forma maliciosa. Esse modelo é uma barra alta — mas é plausível, e os próprios pesquisadores defendem isso citando histórico de incidentes e a atratividade desses alvos para atacantes sofisticados.

O ponto central não é “password manager é ruim”. É este: algumas funções, quando habilitadas, podem abrir caminhos inesperados que enfraquecem o “zero knowledge” prometido.

🎯 Quem é impactado e por quê

A notícia deixa claro que os ataques aparecem com mais força quando o usuário (ou a empresa) usa funcionalidades como:

  • Account recovery (recuperação de conta): mecanismos para voltar ao cofre quando alguém perde a master password.
  • Grupos/organizações/famílias: gestão de membros e chaves compartilhadas.
  • Compartilhamento: envio de itens ou cofres para outras pessoas/equipes.
  • Compatibilidade com versões antigas: suporte a clientes legados que não têm melhorias de segurança mais recentes.

Se você usa o app “solo”, sem compartilhamento e sem recuperação habilitada, a superfície descrita tende a ser menor (a própria matéria sugere que “quase todos” ficam vulneráveis apenas quando certos recursos estão ligados).

Analogia curta: é como um prédio com porta blindada (criptografia forte), mas com uma entrada de serviço (recuperação/compartilhamento) que às vezes não tem a mesma rigorosidade de verificação. A porta da frente continua boa — o problema é a rota alternativa.

🧪 O que a notícia indica (técnicas/sinais)

O que dá para afirmar com segurança

A matéria descreve um padrão recorrente: falta de autenticação/checagem de integridade em informações críticas que o cliente recebe do servidor. Em linguagem simples: o cliente confia demais no que o servidor “fala”.

Alguns exemplos citados:

  • Em Bitwarden, durante o enrollment (entrada) de novo membro em família/organização, o cliente obtém chaves do servidor e gera ciphertext (texto embaralhado, criptografado) usado para recuperação. A notícia diz que certos dados não são integrity-checked (checados quanto à integridade), abrindo espaço para um servidor malicioso trocar chaves e depois recuperar acesso indevidamente.
  • Em LastPass (Teams/Teams 5), há cenário envolvendo reset de master key por superadmin e o cliente buscando chaves de admins no login. A matéria afirma que essas chaves também não são autenticadas, permitindo substituição por uma chave controlada pelo adversário.
  • Em Dashlane, existe ataque ligado a compartilhamento: o texto descreve que chaves usadas para criptografar itens compartilhados podem não ser autenticadas, permitindo que um adversário recupere a chave simétrica e leia (e potencialmente modifique) itens compartilhados.

Além disso, a matéria cita categorias de ataques que não dependem apenas de recuperação/compartilhamento:

  • Backward compatibility (compatibilidade retroativa): suporte a versões antigas pode manter modos de criptografia mais fracos. A matéria menciona cenários de downgrade (rebaixamento) para CBC e até padding oracle attack (ataque de oráculo de padding).
  • Hashing iterations: para os três gerenciadores, o servidor informa ao cliente a contagem de iterações, e a notícia diz que um servidor malicioso poderia reduzir esse número drasticamente (ex.: de 600.000 para 2 em Bitwarden/LastPass), barateando a quebra da master password.
  • Vault malleability (malleabilidade do cofre): como itens e campos são cifrados separadamente, a matéria descreve ataques que trocam ciphertext entre campos (ex.: URL e senha). Como alguns clientes enviam a URL de volta ao servidor para buscar ícone, essa troca pode fazer o cliente vazar o conteúdo errado.

Um detalhe importante da matéria: várias correções já foram feitas ou estão em andamento após os pesquisadores reportarem os problemas. E os fornecedores citados defendem que fazem auditorias e testes; ao mesmo tempo, a pesquisa mostra que auditoria “clássica” pode não focar no cenário de servidor malicioso.

✅ Como se proteger

Checklist rápido

✅ Revise recursos “sensíveis” (principalmente em empresa):

  • Recuperação de conta: habilite apenas com política clara e mínimo privilégio.
  • Grupos/organizações: revise membros, admins e permissões com frequência.
  • Compartilhamento: reduza ao necessário e limpe acessos antigos.

✅ Trate “cliente desatualizado” como risco real:

  • Mantenha apps e extensões sempre atualizados.
  • Evite manter usuários presos em versões antigas “pra não dar trabalho”.

✅ Fortaleça o básico que não depende do fornecedor:

  • Ative 2FA e prefira métodos mais robustos quando disponíveis.
  • Monitore sessões/dispositivos conectados e encerre acessos suspeitos.
  • Tenha plano para troca de master password e rotação quando necessário.

✅ Gestão de risco (sem drama):

  • “Zero knowledge” (conhecimento zero) ajuda, mas não substitui governança e operação.
  • Se a sua empresa é alvo valioso, modele a ameaça “servidor comprometido” como possibilidade.

🛡️ Como a Neologik ajuda: Neologik Safe — ajudamos a transformar “configuração segura” em rotina: governança de identidade/acesso, revisão de controles e monitoramento para detectar sinais de abuso cedo.
(https://neologik.com.br/solucoes#safe)

🔗 Referências

[Ars Technica] (17/02/2026) — https://arstechnica.com/security/2026/02/password-managers-promise-that-they-cant-see-your-vaults-isnt-always-true/

Leia mais

A Neologik é uma empresa de tecnologia especializada em infraestrutura, nuvem, cibersegurança e backup corporativo, oferecendo soluções completas para negócios que buscam eficiência, segurança e evolução digital.

Quem somosSoluçõesTech TrendsJunte-se a nósFale conosco
CNPJ: 46.344.226/0001-00
Av. Engenheiro Luís Carlos Berrini, 1748
© 2025 Neologik — Tecnologia para evoluir, não para complicar.
Política de Privacidade
WhatsApp