A Bitwarden felvette a német Cure 53 biztonsági céget, hogy ellenőrizze a jelszókezelő szolgáltatás által használt Bitwarden szoftverek és technológiák biztonságát.
A Bitwarden népszerű választás a jelszókezelőknél; nyílt forráskódú, a programok elérhetők minden nagyobb asztali operációs rendszerhez, az Android és iOS mobil platformokhoz, az internethez, böngésző kiterjesztésként és még a parancssorba is.
Az 53 gyógymódot felvitték "white box penetráció tesztelésére, forráskód auditálására, valamint az alkalmazások és a kapcsolódó kód könyvtárak Bitwarden ökoszisztéma kriptográfiai elemzésére".
Bitwarden kiadott egy PDF-dokumentumot, amely kiemeli a biztonsági társaság ellenőrzés során tett megállapításait és a vállalat válaszát.
A kutatási kifejezés számos sebezhetőséget és problémát fedezett fel a Bitwardenben. A Bitwarden megváltoztatta szoftverét a sürgető kérdések azonnali kezelése érdekében; a vállalat megváltoztatta a bejelentkezési URI-k működését az engedélyezett protokollok korlátozásával.
A társaság olyan engedélyezési listát hajtott végre, amely a https, ssh, http, ftp, sftp, irc és chrome sémákat csak az adott pillanatban engedélyezi, és nem más sémákat, például fájlokat.
Bitwarden elemzése szerint a négy megmaradó sebezhetőség, amelyet a kutatási kifejezés a vizsgálat során talált, nem igényelt azonnali fellépést.
A kutatók bírálták az alkalmazás nyugodt főjelszó-szabályát, amely szerint bármilyen mesterjelszót el kell fogadni, feltéve, hogy az legalább nyolc karakter hosszú. A Bitwarden azt tervezi, hogy bevezeti a jelszó erősségének ellenőrzését és az értesítéseket a jövőbeli verziókban, hogy ösztönözze a felhasználókat erősebb és nem könnyen törhető fő jelszavak kiválasztására.
Két kérdés kompromittált rendszert igényel. A Bitwarden nem változtatja meg a titkosítási kulcsokat, amikor a felhasználó megváltoztatja a fő jelszót, és egy veszélyeztetett API szerver használható a titkosítási kulcsok ellopására. A Bitwarden egyénileg beállítható az egyes felhasználók vagy cégek tulajdonában lévő infrastruktúrán.
A végső kérdést a Bitwarden automatikus kitöltési funkcióinak kezelése során fedezték fel beágyazott iframe-ket használó webhelyeken. Az automatikus kitöltés funkció csak a legfelső szintű címet, és nem a beágyazott iframe-k által használt URL-t ellenőrzi. A rosszindulatú szereplők ezért beágyazott iframe-kereteket használhatnak a legitim webhelyeken az automatikus kitöltési adatok ellopására.
Most Ön : Melyik jelszókezelőt használja, miért?
