Bitwarden menyewa perusahaan keamanan Jerman Cure 53 untuk mengaudit keamanan perangkat lunak dan teknologi Bitwarden yang digunakan oleh layanan manajemen kata sandi.
Bitwarden adalah pilihan populer ketika datang ke pengelola kata sandi; ini open source, program tersedia untuk semua sistem operasi desktop utama, platform seluler Android dan iOS, Web, sebagai ekstensi browser, dan bahkan baris perintah.
Cure 53 disewa untuk "melakukan pengujian penetrasi kotak putih, audit kode sumber, dan analisis kriptografi ekosistem aplikasi Bitwarden dan pustaka kode terkait".
Bitwarden merilis dokumen PDF yang menyoroti temuan-temuan perusahaan keamanan selama audit dan respons perusahaan.
Istilah penelitian mengungkap beberapa kerentanan dan masalah di Bitwarden. Bitwarden membuat perubahan pada perangkat lunaknya untuk mengatasi masalah mendesak segera; perusahaan mengubah cara kerja URI login dengan membatasi protokol yang diizinkan.
Perusahaan menerapkan daftar putih yang memungkinkan skema https, ssh, http, ftp, sftp, irc, dan chrome hanya pada titik waktu dan bukan skema lain seperti file.
Keempat kerentanan yang tersisa yang ditemukan oleh istilah penelitian selama pemindaian tidak memerlukan tindakan segera menurut analisis Bitwarden tentang masalah tersebut.
Para peneliti mengkritik lemahnya aturan sandi utama aplikasi untuk menerima kata sandi utama asalkan panjangnya setidaknya delapan karakter. Bitwarden berencana untuk memperkenalkan pemeriksaan dan pemberitahuan kekuatan kata sandi di versi mendatang untuk mendorong pengguna memilih kata sandi utama yang lebih kuat dan tidak mudah rusak.
Dua masalah memerlukan sistem yang dikompromikan. Bitwarden tidak mengubah kunci enkripsi ketika pengguna mengubah kata sandi master dan server API yang dikompromikan dapat digunakan untuk mencuri kunci enkripsi. Bitwarden dapat diatur secara individual pada infrastruktur yang dimiliki oleh pengguna individu atau perusahaan.
Masalah terakhir ditemukan dalam penanganan fungsionalitas pengisian-otomatis Bitwarden di situs yang menggunakan iframe tertanam. Fungsi isi ulang otomatis hanya memeriksa alamat tingkat atas dan bukan URL yang digunakan oleh iframe tertanam. Aktor berbahaya karenanya dapat menggunakan iframe yang disematkan di situs yang sah untuk mencuri data isiOtomatis.
Sekarang Anda : Manajer kata sandi mana yang Anda gunakan, mengapa?
