Resultados de la auditoría de seguridad de Bitwarden publicados

Bitwarden contrató a la compañía de seguridad alemana Cure 53 para auditar la seguridad del software y las tecnologías de Bitwarden utilizados por el servicio de administración de contraseñas.

Bitwarden es una opción popular cuando se trata de administradores de contraseñas; es de código abierto, los programas están disponibles para todos los principales sistemas operativos de escritorio, las plataformas móviles Android e iOS, la Web, como extensiones del navegador e incluso la línea de comandos.

Cure 53 fue contratado para "realizar pruebas de penetración de caja blanca, auditoría de código fuente y un análisis criptográfico del ecosistema de aplicaciones Bitwarden y las bibliotecas de códigos asociadas".

Bitwarden lanzó un documento PDF que destaca los hallazgos de la compañía de seguridad durante la auditoría y la respuesta de la compañía.

El término de investigación descubrió varias vulnerabilidades y problemas en Bitwarden. Bitwarden realizó cambios en su software para abordar problemas urgentes de inmediato; la compañía cambió el funcionamiento de los URI de inicio de sesión limitando los protocolos permitidos.

La compañía implementó una lista blanca que permite los esquemas https, ssh, http, ftp, sftp, irc y chrome solo en el momento y no otros esquemas como el archivo.

Según el análisis de Bitwarden de los problemas, las cuatro vulnerabilidades restantes que el término de investigación encontró durante el escaneo no requirieron acción inmediata.

Los investigadores criticaron la regla de contraseña maestra laxa de la aplicación de aceptar cualquier contraseña maestra siempre que tenga al menos ocho caracteres de longitud. Bitwarden planea introducir comprobaciones y notificaciones de seguridad de la contraseña en futuras versiones para alentar a los usuarios a seleccionar contraseñas maestras que sean más seguras y no se rompan fácilmente.

Dos de los problemas requieren un sistema comprometido. Bitwarden no cambia las claves de cifrado cuando un usuario cambia la contraseña maestra y se puede utilizar un servidor API comprometido para robar las claves de cifrado. Bitwarden se puede configurar individualmente en la infraestructura que es propiedad del usuario individual o la empresa.

El último problema se descubrió en el manejo de la funcionalidad de autocompletar de Bitwarden en sitios que usan iframes incrustados. La funcionalidad de autocompletar verifica solo la dirección de nivel superior y no la URL utilizada por los iframes incrustados. Por lo tanto, los actores maliciosos podrían usar iframes incrustados en sitios legítimos para robar datos de autocompletar.

Ahora tú : ¿Qué administrador de contraseñas utilizas? ¿Por qué?