Bu konuyu ben de takip ediyorum, biraz açıklamak istedim çünkü haberler biraz abartılı algılanabilir.
ETH Zurich'teki araştırmacılar Bitwarden, LastPass ve 1Password gibi araçları test etmiş. Bulunan açıklar gerçek ama şunu anlamak önemli: bu saldırıların gerçekleşebilmesi için önce şifre yöneticisi şirketinin kendi sunucularının tamamen ele geçirilmesi gerekiyor. Yani önce Bitwarden ya da LastPass'ın altyapısı hacklenecek, sonra bu açıklardan yararlanılacak. Bu şimdiye kadar hiçbir şifre yöneticisinde yaşanmamış bir senaryo ama olmaz da diyemeyiz.
Peki bu araçları bırakmalı mıyız? Hayır. Şifre yöneticisi kullanmak, her şifrenizi aynı yapmaktan veya bir kağıda yazmaktan hâlâ çok daha güvenli. Asıl tehlike bu haberden değil, zayıf ve tekrar eden şifrelerden geliyor.
Araçlar arasındaki farka gelirsek: 1Password, bu tür server taraflı saldırılara karşı mimari olarak daha iyi tasarlanmış. Bitwarden ise açık kaynaklı ve ETH Zurich bulgularına karşı şeffaf bir tutum sergiledi, tespit edilen sorunların büyük kısmını zaten düzeltti.
Burada da anlattıkları üzere 7 sorunu çözdüler, 3 sorunu da kasıtlı olarak bıraktılar (tahminimce kullanıcıların verileri zarar görmesin diye). LastPass'ın geçmişte yaşadığı gerçek veri ihlalleri düşünülünce o konuda daha temkinli olmakta fayda var.
Şimdilik yapmanız gereken tek şey şifre yöneticinizin master şifresinin güçlü ve özgün olduğundan emin olun. Geri kalanı şu an için teorik risk diyebiliriz.