Bitwarden, ein Anbieter von Passwortmanagement-Lösungen, hat kürzlich die Ergebnisse zweier umfassender Sicherheitsprüfungen veröffentlicht, die von externen Unternehmen durchgeführt wurden. Diese Audits zielten darauf ab, die Sicherheitsmechanismen von Bitwarden zu überprüfen und zu bestätigen, dass die Rückverfolgbarkeit sowie die Sicherheitsanforderungen, die für Unternehmen wichtig sind, eingehalten werden.
Inhaltsverzeichnis
Neueste Entwicklungen und Sicherheitsansätze
Ein zentraler Punkt der jüngsten Entwicklungen bei Bitwarden ist die Implementierung von Argon2 KDF (Key Derivation Function) zur Verbesserung der Sicherheit beim Speichern von Passwörtern. Ebenfalls eingeführt wurden passwortlose Anmeldemethoden, die den Zugang zur Web-Vault-Anwendung vereinfachen sollen.
Die Prüfungen durch Cure53
Im Mai 2022 beauftragte Bitwarden die Sicherheitsfirma Cure53 mit einer Penetrationstest-Prüfung sowie einer detaillierten Sicherheitsbewertung seiner Infrastruktur. Cure53 stellte fest, dass Bitwarden eine solide Sicherheitsarchitektur hat und keine kritischen oder wichtigen Schwächen entdeckt wurden. Dennoch wurden vier geringfügige Probleme identifiziert:
- API-Server: Der API-Webserver zeigte potenziell seine Ursprungsadresse für Angreifer an, was eine Umgehung von bestehenden Sicherheitsmaßnahmen ermöglichte.
- Icon-Service: Der IP-Adresse des Kubernetes-Clusters wurde ebenfalls aus einem alternativen Dienst zugänglich gemacht, was in speziellen Angriffsszenarien problematisch sein kann.
- Zwei-Faktor-Authentifizierung (2FA): Brute-Force-Angriffe auf 2FA scheitern zwar oft, aber es gibt Möglichkeiten, die durch die Nutzung zahlreicher Proxys umgangen werden könnten. Die Einführung einer Captcha-Herausforderung nach mehreren misslungenen Anmeldungen soll dieses Risiko mindern.
- Sicherheitsheader: Einige neueste Sicherheitsheader wurden nicht implementiert, und Bitwarden analysiert momentan deren Bedeutung.
Weitere Prüfungen und Auswertungen
Eine zweite Audit-Phase umfasste sowohl Quellcodeanalysen als auch Penetrationstests, wobei insgesamt sieben Probleme identifiziert wurden. Die meisten dieser Probleme hatten einen informativen Charakter, aber zwei davon wurden als hoch eingestuft:
- Willkürliche Weiterleitungen: Unter bestimmten Bedingungen könnten Benutzer zu unerwünschten Zielen umgeleitet werden. Dieses Problem wurde behoben, indem Content-Security Policies auf betroffenen Seiten implementiert wurden.
- HubSpot-Bibliothek: In einer von Bitwarden verwendeten HubSpot-JavaScript-Bibliothek wurde eine Schwachstelle entdeckt, die von HubSpot jedoch schnell ausgebessert wurde.
Rückblick auf die 2021 Audits
Zusätzlich zu den aktuellen Audits von 2022 wurden auch die Audits von 2021 erwähnt, die ebenfalls von Cure53 und Insight Risk Consulting durchgeführt wurden. Diese Prüfungen fanden keine kritischen Probleme, stellte jedoch einiges an Verbesserungen und Anpassungen während der Prüfung fest. Insgesamt wurden 25 verschiedene Probleme im Jahr 2021 aufgezeigt, wovon eines sofort behoben wurde. Die restlichen Probleme wurden teils während der Prüfung, teils nach Abschluss der Auditierung angegangen.
Über die Ergebnisse aller Audits berichtet auch immer der offizielle Bitwarden Blog.
Fazit
Bitwarden hat die beiden jüngsten Audits insgesamt erfolgreich bestanden, ohne dass kritische Sicherheitsprobleme aufgetreten sind. Zwei hochgradige Probleme wurden schnell behoben. Die restlichen Überprüfungen zeigen, dass Bitwarden aktiv in die Verbesserung seiner Sicherheitsinfrastruktur investiert. Die Tatsache, dass externe Firmen beauftragt werden, um Sicherheitsüberprüfungen durchzuführen, untermauert das Engagement von Bitwarden für hohe Sicherheitsstandards.
Das Unternehmen plant, auch in Zukunft externe Sicherheitsunternehmen zu engagieren, um sicherzustellen, dass ihre Lösungen den höchsten Standards der Cybersicherheit entsprechen. Die kontinuierliche Verbesserung und die proaktive Identifizierung von Sicherheitsrisiken sind entscheidend, um das Vertrauen der Kunden zu gewinnen und zu halten.


Kommentar hinzufügen