El investigador de seguridad Wladimir Palant afirma que la seguridad del administrador de contraseñas Bitwarden es igual a la de LastPass. Para los usuarios antiguos estaría incluso muy por debajo de la media.
Palant es conocido por su trabajo para el bloqueador de anuncios AdBlock Plus. Mientras tanto, también hace buenos negocios como experto en seguridad; papel desde el que recientemente criticó las declaraciones de LastPass. Según el administrador de contraseñas, todas las contraseñas robadas estaban protegidas adecuadamente con claves que son “más fuertes” que los métodos de criptografía estándar. La compañía dice que utiliza 100.000 iteraciones de PBKDF2, lo que significa que la seguridad debe ser “buena”. Mal, concluyó Palant junto con otros investigadores de seguridad como Jeremi Gosney. Bitwarden también contribuyó.
Afirmaciones engañosas en Bitwarden
Bitwarden advirtió desde el margen que su caja fuerte estaba mucho más asegurada. Bitwarden dijo que utilizaría la misma técnica PBKDF2, pero con 200.001 iteraciones. Una afirmación engañosa, sostiene Palant en un entrada en el blog. La empresa solo llega a ese número de iteraciones sumando las iteraciones del servidor y del cliente. En realidad, el administrador de contraseñas almacena bóvedas de contraseñas con 100.001 iteraciones; las otras iteraciones sólo benefician la seguridad local.
Según el experto en seguridad, la seguridad de Bitwarden es similar a la de LastPass. Por lo tanto, establecer una “contraseña maestra” segura es incluso más importante que en el caso de cajas fuertes con protocolos de seguridad más estrictos. Llama la atención que las cuentas antiguas estén protegidas con 5.000 iteraciones y, por tanto, estén por debajo de los estándares de seguridad actuales. Probablemente cambiar la contraseña maestra sea la única solución para este problema. Luego será transferido automáticamente al último estándar de cifrado.
Bitwarden también se apega a eso mientras trabaja para reforzar aún más la seguridad. Después del informe de Palant, Bitwarden anunció que aumentaría el número de iteraciones a 350.000. Sin embargo, sólo encontrará ese nivel de seguridad si crea una cuenta nueva o cambia las claves de seguridad de su cuenta pronto. Por lo tanto, muchos usuarios están estancados en las 100.000 iteraciones que Bitwarden mantenía anteriormente.
Cifrado de direcciones web
Aunque Palant critica las afirmaciones de Bitwarden, también cierra con una nota positiva. A diferencia de LastPass, Bitwarden cifra todos los datos almacenados en la bóveda. Esto significa que las direcciones web también están protegidas y los piratas informáticos no pueden simplemente huir con sus datos o determinar si es interesante robarlos.
