Palant于1月23日就此问题发布了一篇技术博客文章。在回应这篇博文时,一位Bitwarden用户声称他们在2020年开始使用的一个帐户仅运行了5000次迭代(并补充说将计数增加到200000次未能导致“明显的减速”)。
密码保险库数据只能使用从用户的主密码派生的密钥来解密。通过不足数量的迭代散列此密码会使秘密面临潜在暴力攻击的风险。
未能遵循有关哈希迭代次数的行业最佳实践,在密码库服务器泄露事件中成为一个现实问题,这是最近降临到LastPass的灾难。
LastPass因在散列用户加密密钥时应用少于建议的迭代次数而出错,在最佳情况下仅执行100000次。更糟糕的是,它甚至未能将旧帐户迁移到这个次优级别,只剩下5000轮保护。
LastPass漏洞促使Palant调查其他密码保险库开发商在该领域的做法,并在此过程中发现Bitwarden方法的缺陷。
本周这个问题的公开披露促使密码学家Nadim Kobeissi指出他和一个同事团队在五年前发现并报告了同样的问题。
这个问题在2018年被淡化了,但在LastPass漏洞事件发生后的本周再次出现,促使Bitwarden采取了行动。
开源密码管理服务的回应是将其默认客户端迭代次数增加到350000次,这一更改最初仅适用于新帐户。为了响应OWASP 修订后的指南,这个数字后来增加到600000。目前还不清楚现有帐户是否会自动更新。
BitWarden发给Mastodon的帖子让社区中的一些人摸不着头脑。
“他们[Bitwarden]没有给出此更改的时间表,并且对现有帐户是否会自动升级到新的、更高的默认设置含糊不清,” Bitwarden社区论坛上的一位发帖人写道。
根据同一论坛上的后续帖子,Bitwarden将此批评视为功能请求。

推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...