当我们把最敏感的数字凭证托付给密码管理器时,内心通常有一个基本假设:这些工具采用了「端到端加密」和「零知识架构」,即使服务器被攻破,攻击者也无法读取我们的密码。然而,苏黎世联邦理工学院(ETH Zurich)应用密码学研究组在 2026 年 2 月发布的重磅研究,揭示了一个令人不安的事实:在特定的攻击场景下,主流云端密码管理器的安全性远不如营销宣传中承诺的那样可靠。这项研究并非要我们放弃密码管理器,而是帮助我们理解安全预期与工程实现之间的真实差距,从而做出更明智的选择。
恶意服务器威胁模型:一种更严格的安全审视
传统的信息安全评估通常假设服务器是可信的,只在遭遇外部攻击者入侵时才可能泄露数据。但 ETHZ 研究采用了一个更为严苛的威胁模型:恶意服务器。这意味着什么?研究团队构建了自己的服务器基础设施,模拟被攻破后表现出恶意行为的密码管理器后端。在这种模型下,服务器可以任意偏离正常协议行为,与用户浏览器交互时执行各种欺骗操作。研究者 Matteo Scarlata 指出,这类攻击「不需要强大的计算资源,只需能够模拟服务器行为的小程序即可实施」。
这种威胁模型并非纯粹的理论假设。现实中已有前例 ——2015 年 LastPass 遭遇入侵、2022 年 LastPass 再次曝出严重数据泄露事件。ETHZ 研究的核心论点正是:密码管理器因为存储了海量高价值数据,注定会成为经验丰富的攻击者目标,而服务器被攻陷后,用户的加密数据是否仍然安全,取决于加密架构的细节设计。研究团队共发现了超过 25 种针对主流密码管理器的攻击方式,覆盖 Bitwarden(12 种)、LastPass(7 种)、Dashlane(6 种)和 1Password(2 种)四款产品,涉及约 6000 万用户和 23% 的市场份额。
四类核心漏洞:从密钥托管到向后兼容性
密钥托管与账户恢复的双刃剑
现代密码管理器为了提升用户体验,普遍提供了账户恢复功能 —— 当用户忘记主密码时,仍可通过恢复密钥或管理员重置等方式访问保险库。然而,ETHZ 研究揭示,这些看似贴心的功能恰恰构成了严重的安全风险。研究显示,Bitwarden 和 LastPass 的密钥托管机制存在设计缺陷,恶意服务器可以在用户注册或组织创建时,操纵恢复策略设置,将用户悄然纳入会泄露主密钥的恢复方案中。攻击者甚至可以在用户不知情的情况下,通过配置组织策略获取恢复用户主密钥的能力。
这意味着,即使攻击者无法直接破解用户的强主密码,只要控制了服务器端,就可以利用账户恢复流程间接获取密钥访问权限。ETHZ 研究者 Kenneth Paterson 教授评论道:「我们原本以为密码管理器会采用比普通云服务更高的安全标准,毕竟它们存储的是最关键的个人数据。现实却令人担忧。」
加密架构的细粒度缺陷
第二类漏洞涉及加密数据的内部结构设计。研究发现,许多密码管理器对保险库中不同类型的数据采用了不同级别的加密保护。某些元数据(如条目结构、部分字段属性)往往未加密或仅使用未经验证的加密方式存储。这为攻击者提供了多种可能性:篡改密码条目的完整性、窃取元数据以了解密码库的结构和内容、甚至在某些情况下替换加密字段。研究者将这类攻击描述为「完整性违规」,攻击者不仅能读取密码,还能悄悄修改存储的凭证 —— 例如把某个银行账户的登录密码换成攻击者控制的密码,从而实施后续的账户接管。
共享机制中的公钥替换
现代密码管理器普遍支持与家人或团队成员共享密码,这一功能需要使用公钥密码体系来加密共享数据。ETHZ 研究发现的第三类漏洞正是与此相关:在多款产品中,共享所使用的公钥缺乏充分的服务器端认证。恶意服务器可以在用户 A 向用户 B 共享密码时,悄然替换 A 的公钥为攻击者控制的公钥。这样一来,A 实际是将密码加密给了攻击者,而非 B。攻击者随后可以解密共享密码、重新加密后发送给 B,整个过程对双方透明。在组织使用场景下,这类攻击可能导致整个企业的密码库被一次性 compromise。
向后兼容性:遗留加密的风险
最后一类问题源于密码管理器对旧版加密格式的兼容性支持。为了不让老用户的数据因格式升级而无法访问,产品通常保留对旧加密格式的解析能力。然而,这种「友好」的向后兼容设计意外地开辟了降级攻击路径。恶意服务器可以强制客户端使用更弱的旧加密算法或参数,从而大幅降低破解难度。对于 Dashlane 和部分 Bitwarden 遗留格式,研究者成功演示了通过降级攻击实施密码爆破的可行性。Scarlata 在分析代码架构时指出:「企业为了避免客户丢失数据,往往倾向于保留 90 年代的加密技术,尽管这些技术早已过时。」
用户应如何理解和使用密码管理器
面对这些发现,普通用户首先需要认清一个基本事实:密码管理器仍然是目前管理在线身份最安全的方案之一。相比在多个网站重复使用同一密码、或明文存储于浏览器和文本文件,使用密码管理器即使存在上述漏洞,也大幅提升了整体安全基线。研究团队特别强调,他们没有证据表明这些攻击已在实际环境中被利用,供应商也普遍表现出了合作态度,90 天披露窗口期内多数漏洞已获得修复或正在修复中。
但这并不意味着我们可以盲目信任所有产品的安全承诺。ETHZ 研究给我们的最重要启示是:「零知识加密」和「服务器被攻破也无法访问你的数据」这类营销表述,其真实含义高度依赖于具体实现细节。即使架构设计初衷是保护用户,复杂的产品功能 —— 账户恢复、跨设备同步、共享协作 —— 往往会在加密层引入微妙的攻击面。
用户可落地的安全检查清单
基于 ETHZ 研究发现,我们建议用户在选择和使用密码管理器时关注以下要点,这些检查点不需要专业技术背景即可执行:
第一,查看产品的加密默认设置。 优先选择端到端加密默认启用的产品,确保即使供应商服务器被完全控制,攻击者也无法直接访问保险库内容。研究团队特别指出,用户应验证加密不仅应用于密码字段,还应覆盖元数据和结构信息。
第二,评估账户恢复机制的风险。 了解产品的账户恢复方式 —— 是否提供恢复密钥、是否支持管理员重置、恢复流程是否需要额外因素(如独立设备、邮箱验证)。如果恢复选项过多且缺乏明确的安全边界,可能意味着更大的密钥托管风险。
第三,审视共享功能的安全性。 对于需要与家人或团队共享密码的场景,确认共享过程是否使用独立于服务器信任通道的公钥验证。检查产品文档中是否明确说明了公钥认证机制。
第四,关注产品的安全更新历史。 选择定期发布安全更新、公开响应安全研究的产品。ETHZ 研究中,Bitwarden 因长期与 ETHZ 合作进行密码学审计并公开响应而获得相对积极的评价。优先选择对安全社区反馈响应迅速且透明的供应商。
第五,启用多因素认证。 无论密码管理器本身的安全性如何,账户层面应强制启用多因素认证(MFA),首选基于硬件密钥(如 YubiKey)或独立认证器应用的方式,而非短信验证码。
第六,定期审视已存储的密码质量。 使用密码管理器的内置安全审计功能,检查是否存在弱密码或重复使用的密码,及时更新高风险凭证。
密码管理器安全的行业启示
ETHZ 研究的更大意义在于推动整个行业的架构升级。研究团队提出的具体建议值得供应商认真考虑:为新用户默认采用最新加密标准,允许现有用户在充分了解安全权衡的前提下选择迁移到新架构。Paterson 教授明确指出:「密码管理器供应商不应向客户做出虚假的安全承诺,而应更清晰地传达其解决方案实际提供的安全保证。」
对于普通用户而言,这项研究不是放弃密码管理器的理由,而是更明智地使用它们的起点。在数字化身份日益重要的今天,理解你所依赖的工具的真实安全边界,本身就是安全素养的重要组成部分。
参考来源
- ETH Zurich, "Password managers less secure than promised" (2026 年 2 月)
- The Hacker News, "Study Uncovers 25 Password Recovery Attacks in Major Cloud Password Managers" (2026 年 2 月)