Bitwarden beauftragte das deutsche Sicherheitsunternehmen Cure 53 mit der Prüfung der Sicherheit von Bitwarden-Software und -Technologien, die vom Kennwortverwaltungsdienst verwendet werden.
Bitwarden ist eine beliebte Wahl, wenn es um Passwort-Manager geht. Es handelt sich um Open Source-Programme, die für alle gängigen Desktop-Betriebssysteme, die mobilen Android- und iOS-Plattformen, das Web, als Browsererweiterungen und sogar für die Befehlszeile verfügbar sind.
Cure 53 wurde beauftragt, "White-Box-Penetrationstests, Quellcode-Audits und eine kryptografische Analyse des Bitwarden-Ökosystems von Anwendungen und zugehörigen Codebibliotheken durchzuführen".
Bitwarden veröffentlichte ein PDF-Dokument, in dem die Ergebnisse des Sicherheitsunternehmens während des Audits und die Reaktion des Unternehmens hervorgehoben werden.
Der Forschungsbegriff deckte mehrere Schwachstellen und Probleme in Bitwarden auf. Bitwarden hat Änderungen an seiner Software vorgenommen, um dringende Probleme sofort zu beheben. Das Unternehmen hat die Funktionsweise von Anmelde-URIs geändert, indem die zulässigen Protokolle eingeschränkt wurden.
Das Unternehmen hat eine Whitelist implementiert, die die Schemata https, ssh, http, ftp, sftp, irc und chrome nur zum Zeitpunkt und nicht andere Schemata wie file zulässt.
Die vier verbleibenden Schwachstellen, die der Forschungsbegriff während des Scans gefunden hat, erforderten laut Bitwardens Analyse der Probleme keine sofortigen Maßnahmen.
Die Forscher kritisierten die laxe Master-Passwort-Regel der Anwendung, ein Master-Passwort mit mindestens acht Zeichen Länge zu akzeptieren. Bitwarden plant, in zukünftigen Versionen Überprüfungen der Kennwortstärke und Benachrichtigungen einzuführen, um Benutzer dazu zu ermutigen, Hauptkennwörter auszuwählen, die sicherer und nicht leicht zu knacken sind.
Zwei der Probleme erfordern ein kompromittiertes System. Bitwarden ändert keine Verschlüsselungsschlüssel, wenn ein Benutzer das Hauptkennwort ändert und ein gefährdeter API-Server zum Stehlen von Verschlüsselungsschlüsseln verwendet werden kann. Bitwarden kann individuell auf einer Infrastruktur eingerichtet werden, die dem jeweiligen Benutzer oder Unternehmen gehört.
Das letzte Problem wurde bei der Verarbeitung der AutoFill-Funktionalität von Bitwarden auf Websites entdeckt, die eingebettete Iframes verwenden. Die Funktion zum automatischen Ausfüllen überprüft nur die Adresse der obersten Ebene und nicht die von eingebetteten Iframes verwendete URL. Böswillige Akteure könnten daher eingebettete Iframes auf legitimen Websites verwenden, um automatisch ausgefüllte Daten zu stehlen.
Now You : Welchen Passwort-Manager verwenden Sie, warum?
