Camino de cumplir su segundo aniversario, el gestor de contraseñas Bitwarden ha pasado su primera auditoría de seguridad externa, anuncia la desarrolladora del proyecto 8bit Solutions.
Según cuentan en el blog oficial, los encargados de realizar la auditoría ha sido la firma especializada Cure53 y el resultado de sus pesquisas contempla numerosas recomendaciones que en Bitwarden ya han comenzado a aplicar, así como cinco vulnerabilidades, de las cuales solo una ha requerido de respuesta inmediata. “Estos resultados son muy positivos, especialmente dado el extenso tamaño y complejidad del código que se está examinando”, comenta la auditora.
La auditoría ha consistido en un análisis criptográfico de las tecnologías e implementaciones utilizadas y un test de penetración de caja blanca (metodología en la que el atacante conoce perfectamente el sistema) del código fuente de Bitwarden, incluyendo aplicaciones, bibliotecas, software de servidor, API bases de datos, etc. El informe completo se puede consultar en este enlace (PDF).
En resumen, Bitwarden ha pasado la prueba con nota y sus desarrolladores han comenzado a aplicar y seguirán haciéndolo, aquellas recomendaciones que ayuden a mejorar la seguridad del servicio. Por ejemplo, exigiendo una contraseña maestra fuerte para cifrar la base de datos, algo que hasta ahora se solventaba con una advertencia y que en un futuro será obligatorio.
Otra cosa es lo que sucede de servidores adentro, pues la principal funcionalidad de Bitwarden es el almacenamiento y sincronización de las contraseñas en la nube. Pero aún no se ha inventado una auditoría técnica que resuelva con antelación los errores humanos. Dicho lo cual, Bitwarden se mantiene como la alternativa libre más interesante del panorama al modelo popularizado por LastPass.
Bitwarden está disponible como complemento para los principales navegadores web, tiene aplicaciones de escritorio, móviles y web, se puede usar a través de la terminal… Y sí, también se puede instalar en un servidor propio en modalidad libre o para empresas.
Post original en: muylinux.com