文章总结： 苏黎世联邦理工学院等机构研究揭示Bitwarden、LastPass和Dashlane等主流云口令管理器在恶意服务器模型下存在25种攻击方法，可致口令泄露。漏洞源于密钥托管缺陷、完整性缺失及遗留代码。厂商已部分修复，研究建议行业减少复杂性并引入形式化验证以保障安全。 综合评分： 85 文章分类： 漏洞分析,应用安全,云安全,数据安全

云口令管理器的“零知识加密”不堪一击，25种攻击可致口令全泄露

原创

网空闲话 网空闲话

网空闲话plus

2026年2月17日 07:56 四川

在数字身份日益繁杂的今天，口令管理器已成为数千万用户应对“口令疲劳”的必备工具。Bitwarden、LastPass和Dashlane 等主流云服务商，凭借“零知识加密”的承诺，宣称即便服务器被攻破，用户的口令库也固若金汤。然而，苏黎世联邦理工学院和瑞士意大利语区大学的一项最新研究，彻底戳破了这一安全神话。通过对上述三家厂商进行深度剖析，研究人员共发现25种不同的攻击方法，其中绝大多数能直接恢复用户口令，甚至完全接管整个口令库。该研究已被信息安全顶级会议 USENIX Security 2026 收录。

更严苛的“恶意服务器”模型：拷问安全的真正底线

以往的安全分析多将服务器视为“诚实但好奇”的被动观察者，而本次研究首次在口令管理器领域采用了 “恶意服务器”威胁模型。研究人员假设攻击者已完全控制厂商服务器，可以任意篡改数据、伪造响应，并与用户客户端进行恶意交互。这一模型并非空穴来风：首先，厂商们天花乱坠的“零知识”宣传（如Bitwarden声称“即使是 Bitwarden团队也无法读取你的数据”）在用户心中构建了“服务器恶意行为也无妨”的预期；其次，口令库的高价值使其成为国家级黑客和高级持续性威胁的理想目标，而厂商（如曾被多次入侵的LastPass）的历史也证明，服务器被深度控制绝非天方夜谭；最后，在端到端加密云存储和即时通讯领域，抵御恶意服务器已成行业新标准，口令管理器没有理由例外。

25种攻击方法概述（BW代表Bitwarden，LP代表 LastPass，DL代表Dashlane）

四大攻击类别：从密钥托管到遗留代码的全面失守

研究团队针对 Bitwarden、LastPass 和 Dashlane 共发现25种攻击，按成因可分为四类。

1. 密钥托管功能的阿喀琉斯之踵

为了方便用户找回主口令，厂商普遍提供了“账户恢复”功能，这本质上是一种密钥托管机制。然而，这些机制因缺乏对公钥的认证而沦为突破口。

Bitwarden（BW01、BW02）：当用户加入一个组织或轮换密钥时，恶意服务器可替换该组织的公钥。由于公钥未经认证，客户端会将用户的加密密钥（User Key）用恶意公钥加密后上传，攻击者从而能解密出用户密钥，彻底接管整个口令库。更严重的是，Bitwarden 的“Key Connector”功能（BW03）甚至会在用户确认后，将用户的主密钥直接发送给攻击者控制的服务器。

LastPass（LP01）：其管理员口令重置功能同样因公钥可被替换而沦陷。用户在登录时，客户端会自动将用户密钥加密后发送给列表中的“管理员”，攻击者只需在列表中插入自己的公钥即可截获用户密钥。

2. 碎片化的项级加密：当完整性不复存在

为了提高同步效率，现代口令管理器并未将口令库作为整体加密，而是对每个条目单独加密。这种设计导致了大量的完整性漏洞。

元数据裸奔（BW04、LP06）：条目的类型、创建时间、是否要求主口令二次确认等元数据均未加密，攻击者可轻易读取甚至篡改。

字段互换与侧信道泄露（BW05、BW06、LP02、LP03）：由于密文与具体字段（如“用户名”和“口令”）缺乏密码学绑定，攻击者可将“口令”密文与“URL”字段调包。当客户端试图从该 URL 获取网站图标时，会误将解密后的“口令”明文通过 HTTP请求泄露给攻击者，实现无需解密密文即可获取口令。

KDF参数降级（BW07、LP04）：用于派生主密钥的迭代次数存储在服务器且未经认证，攻击者可将其降至最低（如从60万次降至2次），使暴力破解速度提升数十万倍。

3. 分享功能的信任危机

企业级用户常用的“组织”或“共享文件夹”功能同样漏洞百出。

组织注入与覆盖（BW08、BW09）：任何人都可以用任意用户的公钥加密一个组织的密钥。恶意服务器可将这个伪造的组织信息返回给用户，导致用户“被加入”攻击者控制的组织；甚至在用户创建新组织时，服务器可偷偷替换真正的组织密钥，从而窃取整个组织内的所有凭证。问题的根源在于公钥加密本身不提供发送者认证，任何人均可创建并加密信息，而客户端无法辨别真伪。

共享密钥覆盖（LP07、DL02）：当用户分享条目时，服务器可替换收件人的公钥，使分享密钥被加密到攻击者控制的公钥下，从而完全获取共享内容。

4. 后向兼容性的幽灵：遗留代码的降维打击

为了迁就老版本，厂商保留了大量的陈旧加密算法（如纯CBC模式），这为现代客户端带来了灭顶之灾。

降级攻击（BW10）：恶意服务器可谎称自己不支持“每项独立密钥”功能，强制现代客户端回退到不安全的密钥管理状态。

填充预言机攻击（DLb1、DLb2、DL03、DL05）：Dashlane对老式KWC3格式的支持，以及对现代格式中CBC-only模式的保留，为攻击者提供了经典的填充预言机。研究人员借此实现了任意条目注入和KDF参数降级（DL04），并能在特定条件下将主口令暴力破解速度加速2^59 倍（DL06）。

厂商回应与未来之路

在90天的负责任的披露期内，各厂商做出了不同回应。

Bitwarden积极修复了包括恶意自动注册（BW01）、Key Connector（BW03）、用户密钥覆盖（BW11、BW12）等在内的多个高危漏洞，将最小KDF迭代次数提升至5000，并计划彻底移除对CBC-only加密的支持，强制启用每项独立密钥。

Dashlane已禁用易受攻击的CBC-only模式，但暂未计划修复交易重放（DL01）和共享密钥覆盖（DL02）问题。

LastPass已修复图标URL解密（LP03），并承诺加强管理员口令重置和共享流程的完整性保证。

此外，研究附录中还指出，另一款流行产品1Password也存在类似问题，但其公司回应称这属于已知的架构局限性。

结语：复杂性是安全的敌人

这项研究不仅揭示了25个具体漏洞，更向整个行业发出了警示：

复杂性是安全的敌人：为追求功能丰富而引入的复杂代码，带来了大量本可避免的攻击面。

断舍离的必要性：为后向兼容而保留的陈旧密码学原语，如同悬在头顶的达摩克利斯之剑，必须勇于引入彻底的破坏性变更，彻底清除“幽灵”。

形式化验证的紧迫性：口令管理器的发展已远超“简单加密”的阶段，其复杂性堪比端到端加密云存储系统，亟需严谨的形式化分析和可证明安全。

正如论文作者之一肯尼斯·帕特森教授所言：“我们希望我们的工作能推动这个行业的变革。口令管理器提供商不应再向客户做出虚假的安全承诺，而应更清晰、更精确地传达其解决方案实际提供的安全保障。”对于数以千万计的用户而言，这无疑是一个警示：所谓的“零知识”，在现实面前，可能远非零漏洞。

参考资源

1、https://eprint.iacr.org/2026/058.pdf

2、https://thehackernews.com/2026/02/study-uncovers-25-password-recovery.html

3、https://ethz.ch/en/news-and-events/eth-news/news/2026/02/password-managers-less-secure-than-promised.html

4、https://www.itnews.com.au/news/researchers-find-critical-vulnerabilities-in-cloud-based-password-managers-623661?

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《云口令管理器的“零知识加密”不堪一击，25种攻击可致口令全泄露》