Resultater af Bitwarden sikkerhedsrevision offentliggjort

Bitwarden hyrede det tyske sikkerhedsselskab Cure 53 til at kontrollere sikkerheden for Bitwarden-software og -teknologier, der bruges af adgangskodestyringstjenesten.

Bitwarden er et populært valg, når det kommer til passwordadministratorer; det er open source, programmer er tilgængelige for alle større desktop-operativsystemer, Android- og iOS-mobile platforme, Internettet, som browserudvidelser og endda kommandolinjen.

Cure 53 blev hyret til at "udføre hvidboks-penetrationstest, kildekoderevision og en kryptografisk analyse af Bitwardens økosystem af applikationer og tilknyttede kodebiblioteker".

Bitwarden frigav et PDF-dokument, der fremhæver sikkerhedsfirmaets konklusioner under revisionen og virksomhedens svar.

Forskningsbegrebet afslørede flere sårbarheder og problemer i Bitwarden. Bitwarden foretog ændringer i sin software for straks at løse presserende problemer; Virksomheden ændrede, hvordan login-URI'er fungerer ved at begrænse tilladte protokoller.

Virksomheden implementerede en hvidliste, der kun tillader skemaerne https, ssh, http, ftp, sftp, irc og chrome kun på tidspunktet og ikke andre ordninger som fil.

De fire resterende sårbarheder, som forskningsbegrebet blev fundet under scanningen, krævede ikke øjeblikkelig handling i henhold til Bitwardens analyse af problemerne.

Forskerne kritiserede applikationens regel om lax master-adgangskode for at acceptere ethvert master-adgangskode, forudsat at det er mindst otte tegn i længden. Bitwarden planlægger at introducere adgangskodestyrkekontrol og -meddelelser i fremtidige versioner for at tilskynde brugerne til at vælge master-adgangskoder, der er stærkere og ikke let brudt.

To af problemerne kræver et kompromitteret system. Bitwarden ændrer ikke krypteringsnøgler, når en bruger ændrer hovedadgangskoden, og en kompromitteret API-server kunne bruges til at stjæle krypteringsnøgler. Bitwarden kan indstilles individuelt på infrastruktur, der ejes af den enkelte bruger eller virksomhed.

Det sidste problem blev opdaget i håndteringen af ​​Bitwardens autofyldfunktion på websteder, der bruger indlejrede iframes. Autofyldfunktionen kontrollerer kun topniveau-adressen og ikke den URL, der bruges af integrerede iframes. Ondsindede aktører kan derfor bruge indlejrede iframes på legitime websteder til at stjæle autofyld-data.

Nu du : Hvilken adgangskodemanager bruger du, hvorfor?