Bitwardenin turvatarkastuksen tulokset julkaistu

Bitwarden palkkasi saksalaisen tietoturvayrityksen Cure 53 tarkastamaan salasanojen hallintapalvelun käyttämien Bitwarden-ohjelmistojen ja -teknologioiden tietoturvan.

Bitwarden on suosittu valinta, kun kyse on salasananhallinnasta; Se on avoimen lähdekoodin ohjelmat, jotka ovat saatavana kaikille tärkeille tietokoneiden käyttöjärjestelmille, Android- ja iOS-mobiiliympäristöille, Webille, selaimen laajennuksina ja jopa komentoriville.

Cure 53 palkattiin "suorittamaan valkoisen laatikon läpäisytestaus, lähdekooditarkastus ja salauksen analyysi sovellusten ja niihin liittyvien koodikirjastöjen Bitwarden-ekosysteemistä".

Bitwarden julkaisi PDF-asiakirjan, joka tuo esiin turvallisuusyrityksen havainnot tarkastuksen aikana ja yrityksen vastauksen.

Tutkimustermi paljasti useita haavoittuvuuksia ja ongelmia Bitwardenissa. Bitwarden muutti ohjelmistoaan kiireellisten ongelmien ratkaisemiseksi välittömästi; yritys muutti kirjautuminen-URI-toimintojen toimintaa rajoittamalla sallittuja protokollia.

Yhtiö otti käyttöön sallittujen tuotteiden luettelon, joka sallii https-, ssh-, http-, ftp-, sftp-, irc- ja chrom-järjestelmät vain ajankohtana, eivätkä muut järjestelmät, kuten tiedosto.

Neljä jäljellä olevaa haavoittuvuutta, jotka tutkimustermi havaitsi skannauksen aikana, ei vaatinut välittömiä toimia Bitwardenin analyysin perusteella ongelmista.

Tutkijat arvostelivat sovelluksen turhaa pääsalasanaa koskevaa sääntöä, jonka mukaan se hyväksyy minkä tahansa pääsalasanan, jos se on vähintään kahdeksan merkkiä pitkä. Bitwarden aikoo ottaa käyttöön salasanan vahvuustestaukset ja ilmoitukset tulevissa versioissa, jotta käyttäjät rohkaistaan ​​valitsemaan vahvempia pääsalasanoja, jotka eivät ole helposti rikkoutuvia.

Kaksi asioita vaatii vaarantunutta järjestelmää. Bitwarden ei muuta salausavaimia, kun käyttäjä vaihtaa pääsalasanan ja vaarannettua API-palvelinta voitaisiin käyttää salausavainten varastamiseen. Bitwarden voidaan asettaa yksilöllisesti yksittäisen käyttäjän tai yrityksen omistamalle infrastruktuurille.

Viimeinen kysymys löydettiin Bitwardenin automaattisen täyttötoiminnon käsittelystä sivustoissa, jotka käyttävät upotettuja iframe-kehyksiä. Automaattisen täytön toiminnallisuus tarkistaa vain ylätason osoitteen eikä upotettujen iframe-kehyksien käyttämää URL-osoitetta. Haitalliset toimijat voivat siis käyttää laillisten sivustojen sulautettuja iframe-kehyksiä automaattisen täytön tietojen varastamiseen.

Nyt sinä : mitä salasanan hallintaa käytät, miksi miksi?