Resultaten van Bitwarden-beveiligingsaudit gepubliceerd

Bitwarden heeft het Duitse beveiligingsbedrijf Cure 53 ingehuurd om de beveiliging te controleren van Bitwarden-software en -technologieën die worden gebruikt door de wachtwoordbeheerservice.

Bitwarden is een populaire keuze als het gaat om wachtwoordbeheerders; het is open source, programma's zijn beschikbaar voor alle belangrijke desktopbesturingssystemen, de mobiele Android- en iOS-platforms, het web, als browserextensies en zelfs de opdrachtregel.

Cure 53 werd ingehuurd om "het testen van de penetratie van de witte doos, het controleren van de broncode en een cryptografische analyse van het Bitwarden-ecosysteem van toepassingen en bijbehorende codebibliotheken uit te voeren".

Bitwarden heeft een PDF-document uitgebracht dat de bevindingen van het beveiligingsbedrijf tijdens de audit en de reactie van het bedrijf belicht.

De onderzoekstermijn bracht verschillende kwetsbaarheden en problemen in Bitwarden aan het licht. Bitwarden heeft zijn software gewijzigd om dringende problemen onmiddellijk aan te pakken; het bedrijf veranderde hoe login URI's werken door toegestane protocollen te beperken.

Het bedrijf heeft een whitelist geïmplementeerd die de schema's https, ssh, http, ftp, sftp, irc en chrome alleen op het juiste moment toestaat en niet voor andere schema's zoals bestanden.

De vier resterende kwetsbaarheden die de onderzoekstermijn tijdens de scan aantrof, vereisten volgens Bitwarden's analyse van de problemen geen onmiddellijke actie.

De onderzoekers bekritiseerden de lakse hoofdwachtwoordregel van de toepassing om elk hoofdwachtwoord te accepteren, op voorwaarde dat het ten minste acht tekens lang is. Bitwarden is van plan om in toekomstige versies wachtwoordsterktecontroles en -meldingen in te voeren om gebruikers aan te moedigen hoofdwachtwoorden te selecteren die sterker zijn en niet gemakkelijk kunnen worden verbroken.

Twee van de problemen vereisen een gecompromitteerd systeem. Bitwarden wijzigt de coderingssleutels niet wanneer een gebruiker het hoofdwachtwoord wijzigt en een gecompromitteerde API-server kan worden gebruikt om coderingssleutels te stelen. Bitwarden kan individueel worden ingesteld op infrastructuur die eigendom is van de individuele gebruiker of het bedrijf.

Het laatste probleem is ontdekt bij de verwerking van de functionaliteit voor automatisch aanvullen van Bitwarden op sites die ingesloten iframes gebruiken. De functie voor automatisch aanvullen controleert alleen het adres op het hoogste niveau en niet de URL die wordt gebruikt door ingesloten iframes. Schadelijke actoren kunnen daarom ingesloten iframes op legitieme sites gebruiken om gegevens voor automatisch aanvullen te stelen.

Nu u : welke wachtwoordbeheerder gebruikt u, waarom?