Toscana Calcio

Informazioni sull'Italia. Seleziona gli argomenti di cui vuoi saperne di più su Toscana Calcio

Bitwarden Password Manager: la chiave biometrica era leggibile per tutti

Bitwarden Password Manager: la chiave biometrica era leggibile per tutti

Fino a poco tempo fa, i processi o gli utenti locali potevano aprire i depositi di password biometriche di Bitwarden in Windows. La causa è stata l’uso errato di Windows Credential Guard, che salva le chiavi biometriche ma rivela anche i dati di accesso senza un test fisico di Windows Hello.

Quando lo sblocco biometrico è attivato in Bitwarden Desktop per Windows, l’applicazione genera una chiave master biometrica e la memorizza nelle credenziali Windows dell’utente attivo. L’applicazione difettosa ha consentito agli aggressori di chiamare una funzione API di Windows CredRead Leggi questa chiave master e quindi i dati memorizzati localmente in %appdata%\Bitwarden\data.json Per la decodifica – senza prompt biometrico. file data.json È possibile accedervi da qualsiasi programma senza privilegi elevati (CVE-2023-27706, CVSS 6.2rischio”mezzo“).

Come sviluppatori di Bitwarden nel corso Avviso di sicurezza su Hackerone Spiega, hanno risolto il problema facendo firmare a Windows Hello una sfida che crittografa la chiave biometrica di Bitwarden prima di salvarla. Di conseguenza, altre applicazioni possono ancora leggere il segreto, ma rimane crittografato e inutilizzabile. Per la decrittografia, l’applicazione deve attivare la decrittografia biometrica utilizzando Windows Hello, che attiva una richiesta da parte degli utenti. Questo è il Metodo documentato che microsoft Tradizionalmente progettato per l’autenticazione lato server.

Inoltre, gli sviluppatori hanno aggiunto l’opzione nelle impostazioni in cui è necessario inserire prima una password o un codice PIN all’avvio dell’applicazione. Questo è anche in linea con la loro raccomandazione di una configurazione sicura.

Screenshot della nuova configurazione di Bitwarden

Gli sviluppatori consigliano di abilitare la nuova opzione “Richiedi password o PIN all’avvio dell’applicazione”. Questo migliora la sicurezza su Windows.

(foto: screenshot/dmk)

Il client Bitwarden Windows è armato contro questa vulnerabilità dalla versione 2023.4.0. Chiunque non sia ancora aggiornato automaticamente dovrebbe scaricare la versione corrente di Pagina di download di Bitwarden Scarica e installa.

In realtà non guardavo la funzione Windows Hello per sbloccare i depositi di password di Bitwarden da circa un anno e sono rimasto piuttosto colpito dalla praticità. Sebbene la raccomandazione generale sia quella di utilizzare un gestore di password, Bitwarden è stato lo strumento open source gratuito preferito in questo esempio specifico.


(DMK)

alla pagina iniziale

READ  Niente più supporto WhatsApp: molti possessori di smartphone dovranno fare a meno del messenger tra pochi giorni