Опубликованы результаты аудита безопасности Bitwarden

by Опубликовано

Bitwarden нанял немецкую охранную компанию Лечение 53 для аудита безопасности программного обеспечения Bitwarden и технологий, используемых службой управления паролями.

Bitwarden — популярный выбор, когда дело касается менеджеров паролей; это открытый исходный код, программы доступны для всех основных настольных операционных систем, мобильных платформ Android и iOS, Интернета в виде расширений браузера и даже для командной строки.

Cure 53 была нанята для «тестирования на проникновение методом белого ящика, аудита исходного кода и криптографического анализа экосистемы приложений Bitwarden и связанных библиотек кода».

Bitwarden выпущенный PDF-документ, в котором освещаются выводы охранной компании во время аудита и ответ компании.

Срок исследования выявил несколько уязвимостей и проблем в Bitwarden. Bitwarden внесла изменения в свое программное обеспечение, чтобы немедленно решить насущные проблемы; компания изменила принцип работы URI для входа, ограничив разрешенные протоколы.

Компания внедрила белый список, который разрешает схемы https, ssh, http, ftp, sftp, irc и chrome только в определенный момент времени, а не другие схемы, такие как файл.

Bitwarden аудит

Согласно анализу Bitwarden, четыре оставшиеся уязвимости, обнаруженные во время сканирования, не требовали немедленных действий.

Исследователи подвергли критике слабое правило мастер-пароля приложения, согласно которому любой мастер-пароль принимается при условии, что он имеет длину не менее восьми символов. Bitwarden планирует ввести в будущих версиях проверку надежности паролей и уведомления, чтобы побудить пользователей выбирать более надежные мастер-пароли, которые нелегко взломать.

Две проблемы требуют скомпрометированной системы. Bitwarden не меняет ключи шифрования, когда пользователь меняет главный пароль, и скомпрометированный сервер API может быть использован для кражи ключей шифрования. Bitwarden можно настроить индивидуально в инфраструктуре, принадлежащей отдельному пользователю или компании.

Последняя проблема была обнаружена при обработке функции автозаполнения Bitwarden на сайтах, использующих встроенные фреймы. Функция автозаполнения проверяет только адрес верхнего уровня, а не URL-адрес, используемый встроенными фреймами. Таким образом, злоумышленники могут использовать встроенные фреймы на законных сайтах для кражи данных автозаполнения.

Теперь ваша очередь : Какой менеджер паролей вы используете и почему?

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *