Bitwarden je angažirao njemačku zaštitarsku tvrtku Cure 53 za reviziju sigurnosti Bitwarden softvera i tehnologija koje koristi usluga upravljanja lozinkom.
Bitwarden je popularan izbor kada je riječ o upraviteljima lozinki; otvoreni je izvor, programi su dostupni za sve glavne operativne sustave stolnih računala, Android i iOS mobilne platforme, web, proširenja preglednika, pa čak i naredbeni redak.
Cure 53 je angažiran da "izvrši testiranje prodora bijele kutije, reviziju izvornog koda i kriptografsku analizu Bitwardenovog ekosustava aplikacija i pridruženih knjižnica kodova".
Bitwarden je objavio PDF dokument u kojem se ističu nalazi zaštitarske tvrtke tijekom revizije i odgovor kompanije.
Izraz istraživanja otkrio je nekoliko ranjivosti i problema u Bitwardenu. Bitwarden je promijenio svoj softver kako bi odmah riješio goruća pitanja; tvrtka je promijenila način rada URI-a za prijavu ograničavajući dopuštene protokole.
Tvrtka je implementirala bijelu listu koja dopušta sheme https, ssh, http, ftp, sftp, irc i chrome samo u trenutku i bez drugih shema poput datoteke.
Četiri preostale ranjivosti koje su istraživački termini pronašli tijekom skeniranja nisu zahtijevale trenutno djelovanje prema Bitwardenovoj analizi problema.
Istraživači su kritizirali pravilo laksne lozinke za glavno prihvaćanje bilo koje glavne lozinke, pod uvjetom da je duga najmanje osam znakova. Bitwarden planira uvesti provjere čvrstoće zaporke i obavijesti u budućim verzijama kako bi potaknuo korisnike da odaberu glavne lozinke koje su jače i nije ih lako razbiti.
Dva pitanja zahtijevaju kompromitirani sustav. Bitwarden ne mijenja ključeve za šifriranje kada korisnik promijeni glavnu lozinku i kompromitirani API poslužitelj može se koristiti za krađu ključeva za šifriranje. Bitwarden se može postaviti pojedinačno na infrastrukturi koja je u vlasništvu pojedinog korisnika ili tvrtke.
Konačni problem otkriven je u rukovanju Bitwardenovom funkcijom automatskog popunjavanja na web-lokacijama koje koriste ugrađene iframes. Funkcija automatskog popunjavanja provjerava samo najvišu adresu, a ne i URL koji koristi ugrađeni iframes. Zbog toga bi zlobni akteri mogli koristiti ugrađene okvire na legitimnim web lokacijama za krađu podataka o automatskom popunjavanju.
Sada vi : Koji upravitelj lozinki koristite, i zašto?
