Nhà nghiên cứu bảo mật Wladimir Palant tuyên bố rằng bảo mật tại trình quản lý mật khẩu Bitwarden tương đương với LastPass. Đối với người dùng cũ, nó thậm chí còn thấp hơn nhiều so với mức trung bình.
Palant được biết đến với công trình chặn quảng cáo AdBlock Plus. Trong khi đó, anh ấy cũng đang kinh doanh tốt với tư cách là một chuyên gia bảo mật; một vai trò mà gần đây anh ấy đã chỉ trích những phát biểu của LastPass. Theo người quản lý mật khẩu, tất cả mật khẩu bị đánh cắp đều được bảo mật đúng cách bằng các khóa “mạnh” hơn các phương pháp mã hóa tiêu chuẩn. Công ty cho biết họ sử dụng 100.000 lần lặp PBKDF2, điều đó có nghĩa là độ bảo mật phải “tốt”. Sai, Palant kết luận cùng với các nhà nghiên cứu bảo mật khác như Jeremi Gosney. Bitwarden cũng đóng góp.
Tuyên bố gây hiểu lầm tại Bitwarden
Bitwarden cho biết bên lề rằng két sắt của anh ấy được bảo mật chặt chẽ hơn nhiều. Bitwarden cho biết sẽ sử dụng kỹ thuật PBKDF2 tương tự nhưng với 200.001 lần lặp. Một tuyên bố gây hiểu lầm, Palant lập luận trong một bài viết trên blog. Công ty chỉ đạt được số lần lặp đó bằng cách cộng các lần lặp của máy chủ và máy khách. Trên thực tế, trình quản lý mật khẩu lưu trữ kho mật khẩu với 100.001 lần lặp; các lần lặp khác chỉ mang lại lợi ích cho an ninh địa phương.
Theo chuyên gia bảo mật, do đó, bảo mật của Bitwarden tương tự như LastPass. Do đó, việc đặt một ‘mật khẩu chính’ mạnh thậm chí còn quan trọng hơn so với những chiếc két có giao thức bảo mật mạnh hơn. Điều đáng chú ý là các tài khoản cũ được bảo mật bằng 5.000 lần lặp, tụt hậu so với các tiêu chuẩn bảo mật hiện tại. Có lẽ việc thay đổi mật khẩu chính là giải pháp duy nhất cho vấn đề này. Sau đó, bạn sẽ được tự động chuyển sang tiêu chuẩn mã hóa mới nhất.
Bitwarden cũng tuân thủ điều đó vì nó hoạt động để thắt chặt an ninh hơn nữa. Sau báo cáo của Palant, Bitwarden tuyên bố sẽ tăng số lần lặp lên 350.000. Tuy nhiên, bạn sẽ chỉ gặp phải mức độ bảo mật đó nếu sớm tạo tài khoản mới hoặc thay đổi khóa bảo mật của tài khoản. Do đó, nhiều người dùng bị mắc kẹt ở 100.000 lần lặp mà Bitwarden đã duy trì trước đó.
Mã hóa địa chỉ web
Mặc dù Palant chỉ trích những tuyên bố của Bitwarden nhưng anh ấy cũng kết thúc bằng một nhận định tích cực. Không giống như LastPass, Bitwarden mã hóa tất cả dữ liệu được lưu trữ trong vault. Điều này có nghĩa là các địa chỉ web cũng được bảo mật và tin tặc không thể lấy dữ liệu của bạn hoặc xác định xem dữ liệu của bạn có thú vị để đánh cắp hay không.
