Bitwarden mengupah syarikat keselamatan Jerman Cure 53 untuk mengaudit keselamatan perisian dan teknologi Bitwarden yang digunakan oleh perkhidmatan pengurusan kata laluan.
Bitwarden adalah pilihan popular apabila ia datang kepada pengurus kata laluan; ia adalah sumber terbuka, program boleh didapati untuk semua sistem operasi desktop utama, platform mudah alih Android dan iOS, Web, sebagai sambungan penyemak imbas, dan juga baris arahan.
Cure 53 telah diupah untuk "melaksanakan ujian penembusan kotak putih, pengauditan kod sumber, dan analisis kriptografi ekosistem aplikasi Bitwarden dan perpustakaan kod yang berkaitan".
Bitwarden mengeluarkan dokumen PDF yang menonjolkan penemuan syarikat keselamatan semasa audit dan tindak balas syarikat.
Istilah penyelidikan menemui beberapa kelemahan dan isu di Bitwarden. Bitwarden membuat perubahan kepada perisian untuk menangani isu-isu mendesak dengan segera; syarikat mengubah cara kerja login URI dengan membatasi protokol yang dibenarkan.
Syarikat itu melaksanakan senarai putih yang membolehkan skrip https, ssh, http, ftp, sftp, irc, dan chrome hanya pada titik waktu dan bukan skim lain seperti fail.
Empat kelemahan yang dilaporkan bahawa istilah penyelidikan yang ditemui semasa imbasan tidak memerlukan tindakan segera menurut analisis Bitwarden mengenai isu-isu tersebut.
Para penyelidik mengkritik peraturan kata laluan utama lalai permohonan menerima sebarang kata laluan utama dengan syarat sekurang-kurangnya lapan aksara panjangnya. Bitwarden merancang untuk memperkenalkan pemeriksaan dan pemberitahuan kekuatan kata laluan dalam versi masa hadapan untuk menggalakkan pengguna memilih kata laluan tuan yang lebih kuat dan tidak mudah patah.
Dua isu memerlukan sistem yang dikompromi. Bitwarden tidak mengubah kunci penyulitan apabila pengguna menukar kata laluan induk dan pelayan API dikompromi boleh digunakan untuk mencuri kunci penyulitan. Bitwarden boleh ditubuhkan secara individu pada infrastruktur yang dimiliki pengguna atau syarikat individu.
Isu akhir telah ditemui dalam pengendalian fungsi autofill Bitwarden di tapak yang menggunakan iframes tertanam. Fungsi autofill hanya memeriksa alamat peringkat teratas dan bukan URL yang digunakan oleh iframes tertanam. Oleh itu pelakon jahat boleh menggunakan iframes tertanam di laman sah untuk mencuri data autofill.
Sekarang Anda : Mana pengurus kata laluan yang anda gunakan, apa sebabnya?
