Bitwarden si najal nemeckú bezpečnostnú spoločnosť Cure 53 na audit bezpečnosti softvéru a technológií Bitwarden používaných službou správy hesiel.
Bitwarden je obľúbenou voľbou, pokiaľ ide o správcov hesiel; je to otvorený zdroj, programy sú dostupné pre všetky hlavné operačné systémy pre stolné počítače, pre mobilné platformy Android a iOS, pre web, ako rozšírenia prehľadávača a dokonca aj pre príkazový riadok.
Cure 53 bol prijatý na „testovanie penetrácie bielych skriniek, auditovanie zdrojového kódu a kryptografickú analýzu ekosystému Bitwarden aplikácií a súvisiacich knižníc kódov“.
Bitwarden vydal dokument PDF, v ktorom sa zdôrazňujú zistenia bezpečnostnej spoločnosti počas auditu a reakcia spoločnosti.
Výskumný termín odhalil niekoľko slabých miest a problémov v Bitwardene. Bitwarden vykonal zmeny vo svojom softvéri, aby okamžite vyriešil naliehavé problémy; spoločnosť zmenila spôsob fungovania prihlasovacích URI obmedzením povolených protokolov.
Spoločnosť implementovala bielu listinu, ktorá umožňuje schémam https, ssh, http, ftp, sftp, irc a chrome iba v okamihu a nie iným schémam, ako je napríklad súbor.
Štyri zostávajúce zraniteľné miesta, ktoré výskumný pojem zistil počas kontroly, nevyžadujú okamžitú akciu podľa analýzy problémov Bitwardena.
Vedci kritizovali laxné pravidlo hlavného hesla aplikácie týkajúce sa prijatia hlavného hesla za predpokladu, že má dĺžku najmenej osem znakov. Spoločnosť Bitwarden plánuje v budúcich verziách zaviesť kontroly a upozornenia týkajúce sa sily hesla a nabádať používateľov, aby si vybrali hlavné heslá, ktoré sú silnejšie a nie ľahko porušiteľné.
Dva z problémov si vyžadujú kompromitovaný systém. Bitwarden nemení šifrovacie kľúče, keď používateľ zmení hlavné heslo a na ukradnutie šifrovacích kľúčov by sa mohol použiť kompromitovaný server API. Bitwarden môže byť nastavený individuálne na infraštruktúru, ktorú vlastní individuálny užívateľ alebo spoločnosť.
Posledný problém bol objavený pri manipulácii s funkciou automatického dopĺňania Bitwardena na stránkach, ktoré používajú vložené prvky iframe. Funkcia automatického dopĺňania kontroluje iba adresu najvyššej úrovne a nie adresu URL používanú vloženými prvkami iframe. Škodliví herci by preto mohli na legitímne weby použiť ukradnuté prvky iframe na ukradnutie údajov automatického dopĺňania.
Teraz ste : Ktorého správcu hesiel používate, prečo?
