Bitwarden đã thuê công ty bảo mật Cure 53 của Đức để kiểm tra tính bảo mật của phần mềm và công nghệ Bitwarden được sử dụng bởi dịch vụ quản lý mật khẩu.
Bitwarden là một lựa chọn phổ biến khi nói đến các trình quản lý mật khẩu; nó là mã nguồn mở, các chương trình có sẵn cho tất cả các hệ điều hành máy tính để bàn chính, nền tảng di động Android và iOS, Web, dưới dạng tiện ích mở rộng trình duyệt và thậm chí cả dòng lệnh.
Cure 53 được thuê để "thực hiện kiểm tra thâm nhập hộp trắng, kiểm tra mã nguồn và phân tích mật mã của hệ sinh thái ứng dụng Bitwarden và các thư viện mã liên quan".
Bitwarden đã phát hành một tài liệu PDF nêu bật những phát hiện của công ty bảo mật trong quá trình kiểm toán và phản hồi của công ty.
Thuật ngữ nghiên cứu đã phát hiện ra một số lỗ hổng và vấn đề trong Bitwarden. Bitwarden đã thay đổi phần mềm của mình để giải quyết các vấn đề cấp bách ngay lập tức; công ty đã thay đổi cách URI đăng nhập hoạt động bằng cách giới hạn các giao thức được phép.
Công ty đã triển khai một danh sách trắng cho phép các lược đồ https, ssh, http, ftp, sftp, irc và chrome chỉ tại thời điểm chứ không phải các lược đồ khác như tệp.
Bốn lỗ hổng còn lại mà thuật ngữ nghiên cứu tìm thấy trong quá trình quét không yêu cầu hành động ngay lập tức theo phân tích về các vấn đề của Bitwarden.
Các nhà nghiên cứu chỉ trích quy tắc mật khẩu chính lỏng lẻo của ứng dụng chấp nhận bất kỳ mật khẩu chính nào miễn là nó có độ dài ít nhất tám ký tự. Bitwarden có kế hoạch giới thiệu kiểm tra cường độ mật khẩu và thông báo trong các phiên bản trong tương lai để khuyến khích người dùng chọn mật khẩu chính mạnh hơn và không dễ bị phá vỡ.
Hai trong số các vấn đề đòi hỏi một hệ thống bị xâm phạm. Bitwarden không thay đổi khóa mã hóa khi người dùng thay đổi mật khẩu chính và máy chủ API bị xâm nhập có thể được sử dụng để đánh cắp các khóa mã hóa. Bitwarden có thể được thiết lập riêng lẻ trên cơ sở hạ tầng thuộc sở hữu của người dùng hoặc công ty cá nhân.
Vấn đề cuối cùng được phát hiện trong việc xử lý chức năng tự động điền của Bitwarden trên các trang web sử dụng iframe nhúng. Chức năng tự động điền chỉ kiểm tra địa chỉ cấp cao nhất chứ không phải URL được sử dụng bởi các iframe nhúng. Do đó, các tác nhân độc hại có thể sử dụng iframe nhúng trên các trang web hợp pháp để đánh cắp dữ liệu tự động điền.
Bây giờ Bạn : Bạn sử dụng trình quản lý mật khẩu nào, tại sao?
