Bitwarden nolīga vācu drošības firmu Cure 53, lai pārbaudītu Bitwarden programmatūras un tehnoloģiju drošību, ko izmanto paroļu pārvaldības pakalpojums.
Bitwarden ir populāra izvēle, kad runa ir paroļu pārvaldītājiem; tas ir atvērtā koda, programmas ir pieejamas visām lielākajām galddatoru operētājsistēmām, Android un iOS mobilajām platformām, tīmeklim kā pārlūka paplašinājumiem un pat komandrindai.
Cure 53 tika nolīgts, lai "veiktu balto kastu iespiešanās testēšanu, avota koda auditu un lietojumprogrammu Bitwarden ekosistēmas un ar to saistīto kodu bibliotēku kriptogrāfijas analīzi".
Bitwardens izlaida PDF dokumentu, kas izceļ apsardzes uzņēmuma atzinumus audita laikā un uzņēmuma reakciju.
Pētījuma termins atklāja vairākas Bitwarden ievainojamības un problēmas. Bitwarden veica izmaiņas savā programmatūrā, lai nekavējoties risinātu aktuālas problēmas; uzņēmums mainīja pieteikšanās URI darbību, ierobežojot atļautos protokolus.
Uzņēmums ieviesa balto sarakstu, kas ļauj shēmas https, ssh, http, ftp, sftp, irc un chrome tikai attiecīgajā brīdī, nevis citas shēmas, piemēram, failu.
Saskaņā ar Bitwarden veikto problēmu analīzi četrām atlikušajām ievainojamībām, kuras skenēšanas laikā atklāja izpētes termins, nebija nepieciešama tūlītēja rīcība.
Pētnieki kritizēja lietojumprogrammas ierobežoto galveno paroli, kas paredz pieņemt jebkuru galveno paroli, ja tā ir vismaz astoņas rakstzīmes gara. Bitwarden plāno nākamajās versijās ieviest paroles stipruma pārbaudes un paziņojumus, lai mudinātu lietotājus izvēlēties galvenās paroles, kas ir stiprākas un nav viegli salaužamas.
Diviem no jautājumiem nepieciešama kompromitēta sistēma. Bitwarden nemaina šifrēšanas atslēgas, kad lietotājs maina galveno paroli, un šifrēšanas atslēgu nozagšanai var izmantot apdraudētu API serveri. Bitwarden var individuāli iestatīt uz infrastruktūru, kas pieder individuālam lietotājam vai uzņēmumam.
Pēdējais jautājums tika atklāts, apstrādājot Bitwarden automātiskās aizpildes funkcionalitāti vietnēs, kurās tiek izmantoti iegultie iframe. Automātiskās aizpildes funkcionalitāte pārbauda tikai augšējā līmeņa adresi, nevis URL, ko izmanto iegultos iframe. Ļaunprātīgi dalībnieki tāpēc varētu izmantot iegultus iframe failus likumīgās vietnēs, lai nozagtu automātiskās aizpildes datus.
Tagad jūs : kuru paroļu pārvaldnieku jūs izmantojat, kāpēc?
