Bitwarden palkas Saksa turvaettevõtte Cure 53, et kontrollida paroolide haldamise teenuses kasutatava Bitwardeni tarkvara ja tehnoloogiate turvalisust.
Bitwarden on paroolide haldurite osas populaarne valik; see on avatud lähtekoodiga, programmid on saadaval kõigi suuremate lauaarvutite opsüsteemide, Androidi ja iOS-i mobiiliplatvormide, veebi jaoks brauserilaienditena ja isegi käsuridadena.
Ravi Cure 53 palgati "valge kasti läbitungimise testimiseks, lähtekoodi auditeerimiseks ja rakenduste ning nendega seotud koodikogude Bitwardeni ökosüsteemi krüptoanalüüsiks".
Bitwarden andis välja PDF-dokumendi, mis toob esile turvaettevõtte auditi käigus tehtud järeldused ja ettevõtte vastuse.
Uurimistöö termin paljastas Bitwardenis mitmeid haavatavusi ja probleeme. Bitwarden muutis oma tarkvara, et kiireloomuliste probleemidega viivitamatult tegeleda; ettevõte muutis sisselogimise URI-de toimimist, piirates lubatud protokolle.
Ettevõte rakendas valge nimekirja, mis lubab skeemidel https, ssh, http, ftp, sftp, irc ja chrome ainult konkreetsel ajahetkel, mitte aga muid skeeme, näiteks faili.
Bitwardeni probleemianalüüsi kohaselt ei vajanud neli järelejäänud haavatavust, mille skannimise käigus tuvastatud uurimistöö termin ei nõudnud viivitamatut tegutsemist.
Teadlased kritiseerisid rakenduse lahtist põhiparooli reeglit mis tahes põhiparooli aktsepteerimiseks, kui see on vähemalt kaheksa tähemärki pikk. Bitwarden kavatseb tulevastes versioonides kasutusele võtta paroolide tugevuse kontrollimise ja teatised, et julgustada kasutajaid valima tugevamad paroolid, mida pole kerge puruneda.
Kaks küsimust nõuavad ohustatud süsteemi. Bitwarden ei muuda krüptimisvõtmeid, kui kasutaja muudab põhiparooli ja krüpteerimisvõtmete varastamiseks võiks kasutada kahjustatud API-serverit. Bitwardeni saab individuaalselt seadistada infrastruktuuril, mis kuulub konkreetsele kasutajale või ettevõttele.
Viimane probleem leiti Bitwardeni automaatse täitmise funktsioonide käsitlemisel saitidel, mis kasutavad manustatud iframe. Automaatse täitmise funktsionaalsus kontrollib ainult tipptasemel aadressi ja mitte manustatud iframeide kasutatavat URL-i. Pahatahtlikud osalejad võiksid seetõttu kasutada andmete automaatse täitmise varastamiseks manustatud iframe-e õigustatud saitidel.
Nüüd sina : millist paroolide haldurit te kasutate, miks?
