Onderzoeker: Bitwarden biedt standaard zelfde bescherming als LastPass
Wachtwoordmanager Bitwarden biedt met de standaard instellingen dezelfde bescherming als LastPass, zo stelt Wladimir Palant, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Bitwarden biedt een "wachtwoordkluis" voor de opslag van inloggegevens. De kluis kan in de cloud van Bitwarden worden opgeslagen, maar het is ook mogelijk om een eigen server te gebruiken.
Bitwarden en LastPass maken beide gebruik van de Password-Based Key Derivation Function 2 (PBKDF2) om een encryptiesleutel af te leiden van het master password van de gebruiker. De inloggegevens en andere data in de kluis van de gebruiker zijn alleen te ontsleutelen met de encryptiesleutel die van het master password is afgeleid. In het geval van LastPass wordt PBKDF2 100.000 keer uitgevoerd om de encryptiesleutel te maken, gevolgd door een extra ronde PBKDF2 om de inloghash te creëren. Bitwarden claimde 200.001 iteraties uit te voeren: 100.001 iteraties aan de client-side en 100.000 iteraties op de server. De manier waarop de server-side iteraties zijn ontworpen biedt volgens Palant geen veiligheidsvoordelen, waardoor alleen de 100.001 client-side iteraties overblijven, net zoals met LastPass het geval is.
Dat de server-side iteraties van Bitwarden "nutteloos" zijn, zoals Palant het noemt, is al sinds 2020 bekend. Toch heeft de wachtwoordmanager al die tijd volgehouden dat het 200.001 iteraties toepast. "Met de standaardinstellingen biedt Bitwarden precies dezelfde bescherming als LastPass", aldus de onderzoeker. "Het standaard beschermingsniveau van LastPass en Bitwarden is identiek. Dit houdt in dat je een sterk master password nodig hebt." Dat is echter niet het hele verhaal, zo merkt Palant verder op. In 2018 maakte Bitwarden nog gebruik van 5.000 iteraties. Sindsdien zijn er wel meer iteraties toegepast, maar geldt dat niet voor de oudere accounts.
Palant waarschuwde Bitwarden. Dat heeft inmiddels de standaard client-side iteraties verhoogd naar 350.000. Dit geldt echter alleen voor nieuwe accounts. Daarnaast heeft OWASP het advies voor wachtwoorditeraties verhoogd van 310.000 naar 600.000. Toch heeft Palant ook positieve woorden voor Bitwarden. "Ze stellen duidelijk dat ze al je kluisdata versleutelen, waaronder website-adressen. Dus wanneer er data van de Bitwarden-servers wordt gestolen zal het onbruikbaar zijn, totdat de aanvallers het weten te ontsleutelen, dit in tegenstelling tot LastPass." Daarbij doelt Palant op de inbraak bij LastPass waar vertrouwelijke gegevens van gebruikers werden gestolen, waaronder onversleutelde website-adressen.
Mijn eerste gedachte bij deze titel was dan ook, is dit positief of negatief?
Mijn eerste gedachte bij deze titel was dan ook, is dit positief of negatief?
En maakt het dan nog verschil of je de cloud variant gebruikt of het zelf host?
"Warning: Setting your KDF iterations too high could result in poor performance when logging into (and unlocking) Bitwarden on devices with slower CPUs. We recommend that you increase the value in increments of 50,000 and then test all of your devices."
Waar het hier om gaat is de key derivation function waarmee uit het hoofdwachtwoord de sleutel wordt gegenereerd waarmee de opgeslagen wachtwoorden versleuteld zijn.
Waar het hier om gaat is de key derivation function waarmee uit het hoofdwachtwoord de sleutel wordt gegenereerd waarmee de opgeslagen wachtwoorden versleuteld zijn.
Precies, dit viel mij ook op. Dit is onjuist geformuleerd in het artikel. Als ze de wachtwoorden zouden hashen, dan is dat niet omkeerbaar en zouden de wachtwoorden niet meer ingevuld kunnen worden op de websites/apps/etc
Nou een beetje. De cloud is natuurlijk een enorm grote target. Als de server in de cloud gekraakt wordt heeft de hacker veel meer gegevens. Dus een hogere ROI.
Je wilt misschien een wachtwoord manager gebruiken die volledig lokaal kan draaien, zoals ik gebruik genaamd: KeePassXC.
Zodra je Bitwarden lokaal host, is de kans best groot dat je je beveiliging wellicht niet op orde hebt. Draai je docker image met root en is je socket file toegankelijk? Draai je wel de laatste security updates en kernel patches?
Hoeveel andere diensten draai je op die server? Kortom hoe groot is de attack surface.
Daarom is het dus maar de vraag of het echt veiliger is om het zelf te hosten. Maar je bent waarschijnlijk niet een interessante target vergeleken met de Bitwarden servers.
Tldr: misschien moeten mensen gewoon KeePassXC gaan gebruiken. En alles lokaal houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.