Onderzoeker: Bitwarden biedt standaard zelfde bescherming als LastPass
Wachtwoordmanager Bitwarden biedt met de standaard instellingen dezelfde bescherming als LastPass, zo stelt Wladimir Palant, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Bitwarden biedt een "wachtwoordkluis" voor de opslag van inloggegevens. De kluis kan in de cloud van Bitwarden worden opgeslagen, maar het is ook mogelijk om een eigen server te gebruiken.
Bitwarden en LastPass maken beide gebruik van de Password-Based Key Derivation Function 2 (PBKDF2) om een encryptiesleutel af te leiden van het master password van de gebruiker. De inloggegevens en andere data in de kluis van de gebruiker zijn alleen te ontsleutelen met de encryptiesleutel die van het master password is afgeleid. In het geval van LastPass wordt PBKDF2 100.000 keer uitgevoerd om de encryptiesleutel te maken, gevolgd door een extra ronde PBKDF2 om de inloghash te creëren. Bitwarden claimde 200.001 iteraties uit te voeren: 100.001 iteraties aan de client-side en 100.000 iteraties op de server. De manier waarop de server-side iteraties zijn ontworpen biedt volgens Palant geen veiligheidsvoordelen, waardoor alleen de 100.001 client-side iteraties overblijven, net zoals met LastPass het geval is.
Dat de server-side iteraties van Bitwarden "nutteloos" zijn, zoals Palant het noemt, is al sinds 2020 bekend. Toch heeft de wachtwoordmanager al die tijd volgehouden dat het 200.001 iteraties toepast. "Met de standaardinstellingen biedt Bitwarden precies dezelfde bescherming als LastPass", aldus de onderzoeker. "Het standaard beschermingsniveau van LastPass en Bitwarden is identiek. Dit houdt in dat je een sterk master password nodig hebt." Dat is echter niet het hele verhaal, zo merkt Palant verder op. In 2018 maakte Bitwarden nog gebruik van 5.000 iteraties. Sindsdien zijn er wel meer iteraties toegepast, maar geldt dat niet voor de oudere accounts.
Palant waarschuwde Bitwarden. Dat heeft inmiddels de standaard client-side iteraties verhoogd naar 350.000. Dit geldt echter alleen voor nieuwe accounts. Daarnaast heeft OWASP het advies voor wachtwoorditeraties verhoogd van 310.000 naar 600.000. Toch heeft Palant ook positieve woorden voor Bitwarden. "Ze stellen duidelijk dat ze al je kluisdata versleutelen, waaronder website-adressen. Dus wanneer er data van de Bitwarden-servers wordt gestolen zal het onbruikbaar zijn, totdat de aanvallers het weten te ontsleutelen, dit in tegenstelling tot LastPass." Daarbij doelt Palant op de inbraak bij LastPass waar vertrouwelijke gegevens van gebruikers werden gestolen, waaronder onversleutelde website-adressen.
Mijn eerste gedachte bij deze titel was dan ook, is dit positief of negatief?
Mijn eerste gedachte bij deze titel was dan ook, is dit positief of negatief?
En maakt het dan nog verschil of je de cloud variant gebruikt of het zelf host?
"Warning: Setting your KDF iterations too high could result in poor performance when logging into (and unlocking) Bitwarden on devices with slower CPUs. We recommend that you increase the value in increments of 50,000 and then test all of your devices."
Waar het hier om gaat is de key derivation function waarmee uit het hoofdwachtwoord de sleutel wordt gegenereerd waarmee de opgeslagen wachtwoorden versleuteld zijn.
Waar het hier om gaat is de key derivation function waarmee uit het hoofdwachtwoord de sleutel wordt gegenereerd waarmee de opgeslagen wachtwoorden versleuteld zijn.
Precies, dit viel mij ook op. Dit is onjuist geformuleerd in het artikel. Als ze de wachtwoorden zouden hashen, dan is dat niet omkeerbaar en zouden de wachtwoorden niet meer ingevuld kunnen worden op de websites/apps/etc
Nou een beetje. De cloud is natuurlijk een enorm grote target. Als de server in de cloud gekraakt wordt heeft de hacker veel meer gegevens. Dus een hogere ROI.
Je wilt misschien een wachtwoord manager gebruiken die volledig lokaal kan draaien, zoals ik gebruik genaamd: KeePassXC.
Zodra je Bitwarden lokaal host, is de kans best groot dat je je beveiliging wellicht niet op orde hebt. Draai je docker image met root en is je socket file toegankelijk? Draai je wel de laatste security updates en kernel patches?
Hoeveel andere diensten draai je op die server? Kortom hoe groot is de attack surface.
Daarom is het dus maar de vraag of het echt veiliger is om het zelf te hosten. Maar je bent waarschijnlijk niet een interessante target vergeleken met de Bitwarden servers.
Tldr: misschien moeten mensen gewoon KeePassXC gaan gebruiken. En alles lokaal houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
