Parola kasası satıcısı, bir şifreleme karması oluşturmakla suçlanıyor
Parola kasası satıcısı Bitwarden, mekanizmanın varsayılan güvenlik yapılandırmasını geliştirerek, kullanıcıların gizli şifreleme anahtarlarını korumak için kullandığı şifreleme şemasına yönelik yenilenen eleştirilere yanıt verdi.
Sorun, bir kullanıcının parola kasasının şifre çözme anahtarını hesaplamak için kullanılan PBKDF2 karma yinelemelerinin sayısına odaklanıyor. Bu senaryoda OAWSP, rastgele tuzlar, SHA-256 ve 600.000 yineleme ile PBKDF2 algoritmasının kullanılmasını önerir (önceki öneri olan 310.00 turdan son zamanlarda artan bir rakam).
Bitwarden, verilerinin 200.001 yinelemeyle korunduğunu söyledi – istemci tarafında 100.001 yineleme ve sunucu tarafında 100.000 yineleme. Ancak güvenlik araştırmacısı Wladimir Palant, kulağa etkileyici gelse de sunucu tarafı yinelemelerinin etkisiz olduğu konusunda uyardı. Ve daha da kötüsü, eski hesaplar çok daha düşük güvenlik ayarlarıyla takılıp kaldı (ayarlarında yinelemeleri manuel olarak artırmadıkça).
Şifrelemeyle ilgili en son güvenlik haberlerini ve analizlerini takip edin
23 Ocak Pazartesi günü yayınlanan teknik bir blog gönderisinde Palant, 2020’de kurduğu bir Bitwarden hesabının yalnızca 5.000 yineleme ile çalıştığını söyledi (sayıyı 200.000’e çıkarmanın “fark edilir bir yavaşlamaya” neden olmadığını ekledi).
Parola kasası verilerinin şifresi, yalnızca bir kullanıcının ana parolasından türetilen bir anahtar kullanılarak çözülebilir. Bu parolayı yetersiz sayıda yineleme yoluyla karma hale getirmek, sırları olası kaba kuvvet saldırılarına karşı risk altında bırakır.
LastPass ihlali sonrasında tekrar ziyaret edildi
Karma yineleme sayısına ilişkin sektördeki en iyi uygulamanın izlenmemesi, son zamanlarda LastPass’in başına gelen bir felaket olan bir parola kasası sunucusu ihlali durumunda canlı bir sorun haline gelir.
LastPass, en iyi senaryoda yalnızca 100.000 performans sergileyerek, kullanıcıların şifreleme anahtarlarının hashing işleminde önerilen sayıdan daha az yineleme uyguladığı için hatalıydı. Daha da kötüsü, eski hesapları bu yetersiz seviyeye taşımayı başaramamış ve onlara sadece 5.000 tur koruma bırakmıştı.
LastPass ihlali, Palant’ı diğer şifre kasası geliştiricileri arasında bu alandaki uygulamaları araştırmaya ve süreçte Bitwarden’in yaklaşımındaki eksiklikleri ortaya çıkarmaya sevk etti.
Tarih tekerrürden ibarettir
Konunun bu hafta kamuya açıklanması kriptograf Nadim Kobeissi’den şunu belirtmesini istedi: kendisinin ve bir meslektaş ekibinin aynı sorunu beş yıl önce ortaya çıkardığını ve rapor ettiğini (PDF).
Sorun 2018’de önemsenmedi, ancak LastPass ihlalinin ardından bu hafta yeniden ortaya çıkması Bitwarden’ı harekete geçirdi.
Açık kaynaklı parola yönetimi hizmeti, başlangıçta yalnızca yeni hesaplar için geçerli olan bir değişiklikle varsayılan istemci tarafı yinelemelerini 350.000’e çıkararak yanıt verdi. Mevcut hesapların otomatik olarak güncellenip güncellenmeyeceği henüz belli değil.
BitWarden’ın Mastodon’a gönderdiği bir gönderi, toplulukta bazılarının başlarını kaşımasına neden oldu.
“Onlar [Bitwarden] Bitwarden’in topluluk forumundaki bir posterde, bu değişikliğin zaman çizelgesinde hiçbir gösterge yok ve mevcut hesapların otomatik olarak yeni, daha yüksek varsayılana yükseltilip yükseltilmeyeceği konusunda belirsizler.
Aynı forumdaki sonraki bir gönderiye göre, Bitwarden bu eleştiriyi bir özellik isteği olarak değerlendiriyor.
gelen sorulara cevaben günlük yudumBitwarden onaylanmış “varsayılanlar artıyor”, kullanıcıların daha önce “yinelemeleri ayarlayabildiğini ve artırabildiğini” sözlerine ekledi. [at] istediğin zaman”.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Güvenilir olmayan web sitelerinde kimlik bilgilerini otomatik olarak dolduran popüler şifre yöneticileri