Bitwarden ansatt det tyske sikkerhetsselskapet Cure 53 for å revidere sikkerheten til Bitwarden-programvare og teknologier som brukes av passordhåndteringstjenesten.
Bitwarden er et populært valg når det gjelder passordbehandlere; Det er åpen kildekode, programmer er tilgjengelige for alle større stasjonære operativsystemer, Android- og iOS-mobile plattformer, Internett, som nettleserutvidelser, og til og med kommandolinjen.
Cure 53 ble ansatt for å "utføre hvitboks penetrasjonstesting, kildekoderevisjon og en kryptografisk analyse av Bitwardens økosystem av applikasjoner og tilknyttede kodebiblioteker".
Bitwarden ga ut et PDF-dokument som belyser funnene til sikkerhetsselskapet under tilsynet og selskapets svar.
Forskningsbegrepet avdekket flere sårbarheter og problemer i Bitwarden. Bitwarden gjorde endringer i programvaren for å løse presserende problemer umiddelbart; selskapet endret hvordan påloggings-URI-er fungerer ved å begrense tillatte protokoller.
Selskapet implementerte en hviteliste som tillater ordningene https, ssh, http, ftp, sftp, irc og chrome bare på tidspunktet og ikke andre ordninger som fil.
De fire gjenværende sårbarhetene som forskningsbegrepet fant under skanningen, krevde ikke umiddelbar handling i henhold til Bitwardens analyse av problemene.
Forskerne kritiserte applikasjonens lax master passordregel for å godta et hvilket som helst hovedpassord forutsatt at det er minst åtte tegn i lengde. Bitwarden planlegger å innføre kontroller og varsler om passordstyrke i fremtidige versjoner for å oppmuntre brukere til å velge hovedpassord som er sterkere og ikke lett ødelagte.
To av problemene krever et kompromittert system. Bitwarden endrer ikke krypteringsnøkler når en bruker endrer hovedpassord og en kompromittert API-server kan brukes til å stjele krypteringsnøkler. Bitwarden kan settes opp individuelt på infrastruktur som eies av den enkelte bruker eller selskap.
Det endelige problemet ble oppdaget i håndteringen av Bitwardens autofyllfunksjon på nettsteder som bruker innebygde iframes. Autofyllfunksjonen sjekker bare toppnivåadressen og ikke URL-en som brukes av innebygde iframes. Ondsinnede aktører kan derfor bruke innebygde iframes på legitime nettsteder for å stjele autofyllingsdata.
Nå du : Hvilken passordbehandler bruker du, hvorfor?
