نتائج تدقيق أمان Bitwarden المنشورة

استأجرت Bitwarden شركة الأمن الألمانية Cure 53 لتدقيق أمان برامج وتقنيات Bitwarden المستخدمة من قبل خدمة إدارة كلمة المرور.

Bitwarden هو خيار شائع عندما يتعلق الأمر بمديري كلمة المرور ؛ إنه مفتوح المصدر ، وتتوفر البرامج لجميع أنظمة تشغيل سطح المكتب الرئيسية ، ومنصات Android و iOS المحمولة ، والويب ، وملحقات المستعرض ، وحتى سطر الأوامر.

تم التعاقد مع Cure 53 على "إجراء اختبار اختراق الصندوق الأبيض ، ومراجعة شفرة المصدر ، وتحليل تشفير لنظام Bitwarden البيئي للتطبيقات ومكتبات الأكواد المرتبطة بها".

أصدر Bitwarden مستند PDF يسلط الضوء على نتائج شركة الأمان أثناء التدقيق واستجابة الشركة.

كشف مصطلح البحث عن العديد من نقاط الضعف والقضايا في Bitwarden. قامت Bitwarden بإجراء تغييرات على برنامجها لمعالجة المشكلات الملحة فورًا ؛ غيرت الشركة كيفية عمل URIs لتسجيل الدخول عن طريق الحد من البروتوكولات المسموح بها.

طبقت الشركة قائمة بيضاء تسمح للمخططات https و ssh و http و ftp و sftp و irc و chrome فقط في الوقت المناسب وليس المخططات الأخرى مثل الملفات.

نقاط الضعف الأربعة المتبقية التي وجدها مصطلح البحث أثناء الفحص لم تتطلب إجراءً فوريًا وفقًا لتحليل Bitwarden للقضايا.

انتقد الباحثون قاعدة كلمة المرور الرئيسية للتطبيق لقبول أي كلمة مرور رئيسية بشرط ألا يقل طولها عن ثمانية أحرف. تخطط Bitwarden لإدخال اختبارات قوة كلمة المرور والإشعارات في الإصدارات المستقبلية لتشجيع المستخدمين على تحديد كلمات المرور الرئيسية الأقوى والتي لا يمكن كسرها بسهولة.

اثنين من القضايا تتطلب نظام للخطر. لا يغير Bitwarden مفاتيح التشفير عند قيام المستخدم بتغيير كلمة المرور الرئيسية ويمكن استخدام خادم واجهة برمجة التطبيقات المشبوه لسرقة مفاتيح التشفير. يمكن إعداد Bitwarden بشكل فردي على بنية أساسية مملوكة للمستخدم أو الشركة الفردية.

تم اكتشاف المشكلة الأخيرة في التعامل مع وظيفة الملء التلقائي لبرنامج Bitwarden على المواقع التي تستخدم iframe المدمجة. تقوم وظيفة الملء التلقائي بالتحقق من عنوان المستوى الأعلى فقط وليس عنوان URL المستخدم من قبل iframe المدمجة. وبالتالي ، يمكن للجهات الفاعلة الضارة استخدام إطارات ifram المضمنة في المواقع الشرعية لسرقة بيانات الملء التلقائي.

أنت الآن : أي مدير كلمات المرور تستخدمه ، لأي سبب؟