Security Professionals - ipfw add deny all from eindgebruikers to any

Bitwarden implementeert Argon2id

16-02-2023, 21:14 door Anoniem, 5 reacties
Goed nieuws: Bitwarden implementeert Argon2id. Twee dagen geleden in de code aan serverzijde, binnen nu en vijf dagen, meestal, in de cliënts (apps en software-versies). Alles vanaf 2023.2.

https://bitwarden.com/help/kdf-algorithms/#argon2id

Dit had al veel eerder kunnen en moeten gebeuren, maar het gebeurde toch steeds maar niet (tot de recente LastPass breach de zaak in een stroomversnelling bracht).

Groet, Pelikas Wikkel
Reacties (5)
16-02-2023, 23:05 door Erik van Straten
Tweaker Kjoe_Ljan waarschuwt er in https://tweakers.net/downloads/63460/bitwarden-202320.html?showReaction=18469494#r_18469494 voor dat mogelijk nog niet alle clients een update hebben ontvangen waardoor je jezelf op die clients buiten kunt sluiten; het kan verstandig zijn om een weekje of zo te wachten.

In een post daaronder wijs ik op een blog van Wladimir Palant waaruit blijkt dat Bitwarden, vooral bij oudere accounts, met een relatief klein aantal iteraties bij de PBKDF2 Key Derivation Function (KDF) kan werken, waarbij een handmatige actie nodig is om dit beter te beveiligen (zie https://tweakers.net/downloads/63460/bitwarden-202320.html?showReaction=18470514#r_18470514 van Tweaker 3raser met een link naar een Bitwarden "how to").
17-02-2023, 15:19 door Anoniem
Door Erik van Straten: Tweaker Kjoe_Ljan waarschuwt ervoor dat mogelijk nog niet alle clients een update hebben ontvangen waardoor je jezelf op die clients buiten kunt sluiten; het kan verstandig zijn om een weekje of zo te wachten.

Goed punt Erik, dat bedoelde ik met 'alles vanaf 2023.2' maar het risico van jezelf uitsluiten bleef onderbelicht.

Groet, Pelikas
17-02-2023, 16:09 door Anoniem
@Erik https://www.security.nl/posting/782684/Onderzoeker%3A+Bitwarden+biedt+standaard+zelfde+bescherming+als+LastPass
18-02-2023, 09:14 door Anoniem
Bitwarden 2023.02 is beschikbaar in de app-store en voor Windows en Linux
18-02-2023, 09:21 door Anoniem
Door Anoniem: @Erik https://www.security.nl/posting/782684/Onderzoeker%3A+Bitwarden+biedt+standaard+zelfde+bescherming+als+LastPass

Dit is een belangrijk punt inderdaad, om die reden is bijwerken naar 2023.2 aanbevolen. Daarna in de webversie van je kluis het hashingalgorithme aanpassen naar Argon2id. De standaard instellingen van Bitwarden voor dit algoritme zijn hoger dan de aanbevelingen van OWASP.

Ook als je het algoritme niet aanpast, maar PBKDF2 blijft gebruiken is het verstandig om het aantal iteraties te checken (moet gelijk of meer zijn dan 600.000). Had dit zelf op 2.000.000 staan (meer uit nieuwsgierigheid dan dat dat werkelijk noodzakelijk zou zijn) zonder enig probleem.


https://bitwarden.com/help/kdf-algorithms/

Pelikas
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search