ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

Aktuality

Správci hesel nejsou tak bezpeční, jak se tvrdí, ukazuje švýcarská studie

28. února 2026
Petra Sasínová

Obsah

  1. Úplný přístup k heslům 
  2. Složitost jako bezpečnostní riziko
  3. Reakce výrobců a postoj 1Password
  4. Aktualizujte si systémy pomocí moderní kryptografie

Související

Bezpečnostní experti už řadu let doporučují správce hesel jako nejbezpečnější způsob pro práci s přihlašovacími údaji. Nová studie vědeckého týmu ze švýcarského ETH Zurich však odhalila závažné bezpečnostní slabiny u tří populárních cloudových řešení. V rámci testování se výzkumníkům podařilo nejen získat přístup k uloženým heslům, ale také jejich obsah měnit.

Běžný uživatel online služeb dnes pracuje se stovkami účtů – od e-shopů přes sociální sítě až po pracovní nástroje. Odhady mluví o 100 až 200 různých heslech, která by si měl bezpečně spravovat. Zapamatovat si je všechna je prakticky nemožné, a právě proto vznikly správci hesel. Umožňují přístup ke všem přihlašovacím údajům prostřednictvím jediného hlavního hesla, píše švýcarský institut ETH Zurich.

Většina těchto řešení funguje v cloudu, takže jsou data dostupná z různých zařízení a lze je sdílet. Ukládají se do šifrovaných „trezorů“, kde často končí i velmi citlivé údaje včetně přístupů k bankovnictví či platebním kartám.

Poskytovatelé proto často staví marketing na konceptu „zero-knowledge“ šifrování – tedy na tvrzení, že uložená hesla jsou zašifrována tak, že k nim nemá přístup ani samotná služba.

„Slibují, že i kdyby se někdo dostal k serveru, nepředstavuje to pro zákazníky bezpečnostní riziko, protože data jsou šifrovaná a tudíž nečitelná. Nyní jsme prokázali, že tomu tak není,“ vysvětlila odborná asistentka a vědecký pracovnice Matilda Backendalová. Ta provedla studii společně s profesory Matteem Scarlatou, Kennethem Patersonem a Giovannim Torrisim ze skupiny aplikované kryptografie na ETH Zurich.

Úplný přístup k heslům 

Výzkumný tým analyzoval bezpečnostní architekturu tří rozšířených správců hesel – Bitwarden, LastPass a Dashlane. Tyto služby dohromady používá zhruba 60 milionů lidí a drží přibližně čtvrtinu trhu. V rámci studie vědci demonstrovali dvanáct typů útoků proti Bitwardenu, sedm proti LastPass a šest proti Dashlane.

Pro testování si zřídili vlastní infrastrukturu, která simulovala kompromitovaný server. Pracovali s tzv. modelem škodlivého serveru – tedy scénářem, kdy napadený server nejedná korektně a může při komunikaci s klientem (například webovým prohlížečem) úmyslně měnit své chování.

Útoky sahaly od cíleného narušení konkrétních uživatelských trezorů až po scénáře, které mohly ohrozit všechny účty v rámci jedné organizace. Ve většině případů se výzkumníkům podařilo k uloženým heslům získat přístup a někdy je i upravit. Stačily přitom běžné operace, jako je přihlášení, otevření trezoru nebo synchronizace dat.

„Vzhledem k velkému množství citlivých dat, která obsahují, jsou správci hesel pravděpodobným cílem zkušených hackerů, kteří jsou schopni proniknout na servery a odtud spustit útoky,“ uvedl Kenneth Paterson, profesor informatiky na ETH Zurich.

Složitost jako bezpečnostní riziko

„Byli jsme překvapeni závažností nalezených zranitelností,“ řekl profesor Paterson. Jeho tým už v minulosti analyzoval bezpečnost jiných cloudových služeb, ale u správců hesel očekával výrazně vyšší standard ochrany. „Šifrování typu end-to-end je v komerční sféře stále relativně nové a zdá se, že ho dosud nikdo opravdu důkladně neprověřil,“ dodal.

Doktorand na švýcarské univerzitě Matteo Scarlata, který část útoků prakticky realizoval, při analýze narazil na nečekaně komplikovanou architekturu. Podle něj se poskytovatelé snaží nabídnout uživatelům co nejkomfortnější funkce (například obnovu účtu nebo sdílení trezorů v rodině).

„Výsledkem je složitější a méně přehledný kód, který rozšiřuje potenciální plochu pro útoky,“ popsal Scarlata. Takové scénáře přitom nevyžadují žádnou výjimečnou infrastrukturu, postačí program, který se vydává za server.

Jak je u odpovědného zveřejňování běžné, výzkumníci poskytovatele předem informovali a dali jim 90 dní na nápravu. „Většina byla vstřícná a spolupracovala, ale rychlost reakce se lišila,“ vysvětlil Paterson.

Diskuse s vývojáři zároveň ukázaly, že firmy postupují při aktualizacích velmi opatrně. Obávají se, že chyba v nové verzi by mohla uživatelům zablokovat přístup k jejich datům. A to nejen jednotlivcům, ale i tisícům firem, které na těchto službách stojí. Podle Scarlaty tak někteří poskytovatelé stále spoléhají na kryptografické postupy z 90. let, i když jsou dnes považovány za zastaralé.

Reakce výrobců a postoj 1Password

Reakce jednotlivých výrobců na závěry týmu z ETH Zurich se lišily v tónu i v míře detailu. Bitwarden zdůraznil svůj open-source model a transparentnost, která podle něj umožňuje rychlé odhalení a opravy chyb. A to i ve scénáři, kdy je server kompromitován.

LastPass oznámil další zlepšení architektury a zasadil popsané útoky do kontextu velmi specifických podmínek. Dashlane uvedl, že pracuje na aktualizacích odstraňujících identifikované slabiny.

Na Reddit se po zveřejnění studie objevila tvrzení, že některé z problémů byly hlášeny už kolem roku 2021, ale bez výraznější odezvy. Tato tvrzení nelze plně ověřit, ukazují však, že podněty z komunity mohou snadno zapadnout.

K nové studii se vyjádřil také multiplatformní správce hesel 1Password. Ten uvedl, že nový výzkum nepřinesl žádné zcela nové vektory útoku specificky pro její produkty. Zástupci firmy zároveň zdůraznili architektonické rozdíly (například kombinaci hlavního hesla s dalším tajným klíčem a další obranné vrstvy), které mají podle nich některé scénáře útoku výrazně ztížit.

Aktualizujte si systémy pomocí moderní kryptografie

Výzkumníci zároveň navrhují konkrétní kroky, jak bezpečnost cloudových správců hesel posílit. Scarlata navrhuje aktualizovat systémy pro nové zákazníky v souladu s nejnovějšími kryptografickými standardy. Stávající zákazníci by pak měli na výběr, zda přejít na nový, bezpečnější systém a převést si do něj svá hesla, nebo zůstat u starého systému – s plným vědomím existujících bezpečnostních zranitelností.

A co mohou udělat samotní uživatelé? Paterson doporučuje vybírat služby, které jsou transparentní v otázce bezpečnostních rizik, pravidelně procházejí nezávislými audity a mají ve výchozím nastavení zapnuté end-to-end šifrování. Důležitá je podle něj i otevřená komunikace poskytovatelů.

„Chceme, aby naše práce pomohla přinést změnu v tomto odvětví,“ vysvětlil Paterson. „Poskytovatelé správců hesel by neměli svým zákazníkům dávat falešné sliby ohledně bezpečnosti, ale místo toho jasněji a přesněji komunikovat, jaké bezpečnostní záruky jejich řešení skutečně nabízejí,“ uzavřel.

Předchozí článek Doména AI.com se prodala za 70 milionů USD
Petra Sasínová

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *