Bitwardenは、パスワード管理サービスで使用されるBitwardenソフトウェアおよびテクノロジーのセキュリティを監査するために、ドイツのセキュリティ会社Cure 53を雇いました。
Bitwardenは、パスワードマネージャーに関して一般的な選択肢です。 オープンソースであり、プログラムはすべての主要なデスクトップオペレーティングシステム、AndroidおよびiOSモバイルプラットフォーム、Web、ブラウザ拡張機能、さらにはコマンドラインで使用できます。
Cure 53は、「ホワイトボックス侵入テスト、ソースコード監査、およびアプリケーションと関連コードライブラリのBitwardenエコシステムの暗号分析を実行する」ために採用されました。
Bitwardenは、監査中のセキュリティ会社の発見と会社の対応を強調するPDFドキュメントをリリースしました。
この研究用語は、Bitwardenのいくつかの脆弱性と問題を明らかにしました。 Bitwardenは、差し迫った問題にすぐに対処するためにソフトウェアを変更しました。 許可されたプロトコルを制限することにより、ログインURIの機能を変更しました。
同社は、https、ssh、http、ftp、sftp、irc、およびchromeスキームをその時点でのみ許可し、fileなどの他のスキームを許可しないホワイトリストを実装しました。
スキャン中に調査用語が発見した残りの4つの脆弱性は、問題のBitwardenの分析によると、すぐに対処する必要はありませんでした。
研究者は、長さが8文字以上であれば、マスターパスワードを受け入れるというアプリケーションの緩いマスターパスワードルールを批判しました。 Bitwardenは、将来のバージョンでパスワード強度チェックと通知を導入して、ユーザーがより強力で簡単に破られないマスターパスワードを選択することを奨励する予定です。
2つの問題には、侵害されたシステムが必要です。 Bitwardenは、ユーザーがマスターパスワードを変更しても暗号化キーを変更せず、侵害されたAPIサーバーを使用して暗号化キーを盗むことができます。 Bitwardenは、個々のユーザーまたは会社が所有するインフラストラクチャ上で個別に設定できます。
最後の問題は、埋め込みiframeを使用するサイトでのBitwardenの自動入力機能の処理で発見されました。 自動入力機能は最上位アドレスのみをチェックし、埋め込みiframeが使用するURLはチェックしません。 そのため、悪意のある攻撃者は正当なサイトに埋め込まれたiframeを使用して、オートフィルデータを盗む可能性があります。
Now You :どのパスワードマネージャーを使用していますか?
