„Bitwarden“ pasamdė Vokietijos saugos bendrovę „Cure 53“, kad patikrintų „Bitwarden“ programinės įrangos ir technologijų, naudojamų slaptažodžių tvarkymo tarnyboje, saugumą.
„Bitwarden“ yra populiarus pasirinkimas kalbant apie slaptažodžių tvarkytojus; Tai yra atvirojo kodo programos, prieinamos visoms pagrindinėms stalinių kompiuterių operacinėms sistemoms, „Android“ ir „iOS“ mobiliųjų platformoms, žiniatinkliui, kaip naršyklės plėtiniai ir net komandinė eilutė.
„Cure 53“ buvo pasamdytas „atlikti baltųjų dėžių įsiskverbimo bandymus, šaltinio kodų auditą ir programų„ Bitwarden “ekosistemos bei susijusių kodų bibliotekų kriptografinę analizę“.
Bitwardenas išleido PDF dokumentą, kuriame pabrėžiamos saugos bendrovės išvados audito metu ir bendrovės atsakymas.
Tyrimo terminas atskleidė keletą „Bitwarden“ spragų ir problemų. „Bitwarden“ pakeitė savo programinę įrangą, kad nedelsdama spręstų aktualias problemas; įmonė pakeitė prisijungimo URI veikimą ribodama leidžiamus protokolus.
Bendrovė įdiegė baltąjį sąrašą, kuris leidžia „https“, „ssh“, „http“, „ftp“, „sftp“, „irc“ ir „chrome“ schemas tik tuo metu, o ne kitoms schemoms, tokioms kaip failas.
Remiantis Bitwardeno analizuota problema, dėl likusių keturių pažeidžiamumų, kuriuos tyrimo metu rastas tyrimo terminas, nereikėjo nedelsiant imtis veiksmų.
Tyrėjai kritikavo laisvosios programos pagrindinio slaptažodžio taisyklę, pagal kurią priimamas bet koks pagrindinis slaptažodis, jei jis yra ne mažiau kaip aštuonių simbolių ilgio. „Bitwarden“ planuoja būsimose versijose įdiegti slaptažodžių tikrinimo ir pranešimų tikrinimus, kad vartotojai būtų skatinami pasirinkti stipresnius ir lengvai nesulaužomus pagrindinius slaptažodžius.
Dviems klausimams spręsti reikalinga pažeista sistema. „Bitwarden“ nekeičia šifravimo raktų, kai vartotojas keičia pagrindinį slaptažodį, o pažeistas API serveris gali būti naudojamas pavogti šifravimo raktus. „Bitwarden“ gali būti nustatomas atskirai infrastruktūroje, kuri priklauso individualiam vartotojui ar įmonei.
Paskutinė problema buvo rasta tvarkant „Bitwarden“ automatinio užpildymo funkcijas svetainėse, kuriose naudojami įterpti „iframe“ rėmai. Automatinio užpildymo funkcija tikrina tik aukščiausio lygio adresą, o ne URL, naudojamą įterptuose iframe rėmuose. Todėl kenkėjiški subjektai galėjo naudoti įterptus iframe rėmus teisėtose svetainėse, kad pavogtų automatinio pildymo duomenis.
Dabar jūs : kurį slaptažodžių tvarkyklę naudojate, kodėl?
