Nieuws

Beveiliging Bitwarden blijkt ondermaats, dit moet je weten

Bitwarden
Beveiligingsonderzoeker Wladimir Palant stelt dat de beveiliging bij wachtwoordmanager Bitwarden gelijk is aan die van LastPass. Voor oude gebruikers zou die zelfs ver ondermaats zijn.

Palant staat bekend om zijn werk voor advertentieblocker AdBlock Plus. Intussen doet hij ook goede zaken als beveiligingsexpert; een rol waar vanuit hij recent kritiek gaf op de uitspraken van LastPass. Volgens de wachtwoordmanager waren alle gestolen wachtwoorden goed beveiligd met sleutels die “sterker zijn” dan standaard cryptografie-methoden. Het bedrijf gebruikt naar eigen zeggen 100.000 PBKDF2-iteraties, waarmee de beveiliging ‘puik’ in orde moet zijn. Fout, concludeerde Palant samen met andere beveiligingsonderzoekers als Jeremi Gosney. Bitwarden deed ook een duit in het zakje.

Misleidende claims bij Bitwarden

Bitwarden riep namelijk vanaf de zijlijn dat zijn kluis vele malen sterker beveiligd was. Bitwarden zei dezelfde PBKDF2-techniek te gebruiken, maar dan met 200.001 iteraties. Een misleidende claim, stelt Palant in een blogpost. Het bedrijf komt enkel tot dat aantal iteraties door de server- en client iteraties op te tellen. In werkelijkheid slaat de wachtwoordmanager wachtwoordkluizen op met 100.001 iteraties; de overige iteraties komen enkel ten goede aan de lokale beveiliging.

Volgens de beveiligingsexpert is de beveiliging van Bitwarden daarmee gelijkaardig aan die van LastPass. Het instellen van een sterk ‘master wachtwoord’ is daarmee nog een pak belangrijker dan bij kluizen met sterkere beveiligingsprotocollen. Opvallend is dat oude accounts beveiligd zijn met 5.000 iteraties en daarmee achterlopen op de huidige beveiligingsstandaarden. Vermoedelijk is het aanpassen van het master wachtwoord de enige remedie voor dit probleem. Je wordt dan automatisch overgezet op de nieuwste encryptiestandaard.

Bitwarden houdt daar ook aan vast nu het werk verzet om de beveiliging verder op te schroeven. Na de melding van Palant heeft Bitwarden laten weten het aantal iteraties te verhogen naar 350.000. Je krijgt echter enkel te maken met dat beveiligingsniveau als je een nieuw account maakt of weldra de beveiligingssleutels van je account aanpast. Veel gebruikers blijven hierdoor hangen op de 100.000-iteraties die Bitwarden eerder aanhield.

Versleuteling van webadressen

Palant is weliswaar kritisch over de claims van Bitwarden, maar sluit tegelijk af met een positieve noot. In tegenstelling tot LastPass versleutelt Bitwarden namelijk wel alle gegevens die in de kluis staan opgeslagen. Dit betekent dat ook de webadressen zijn beveiligd en hackers niet zomaar met jouw gegevens aan de haal kunnen gaan, of kunnen bepalen of je data interessant is om te stelen.

bitwardenlastpassmobielslider

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600