加密方案争议核心
密码管理服务商Bitwarden近期回应了关于其加密密钥保护机制的批评,重点调整了PBKDF2哈希迭代次数的默认配置。该机制用于生成用户密码库的解密密钥,安全研究人员指出其原有配置存在安全隐患。
技术细节
- OWASP标准:推荐使用PBKDF2算法配合随机盐值、SHA-256及60万次迭代(原标准为31万次)
- Bitwarden原配置:采用200,001次迭代(客户端100,001次 + 服务器端100,000次)
- 关键缺陷:安全专家Wladimir Palant指出服务器端迭代实际无效,且旧账户默认仅5,000次迭代
事件背景
此次争议源于LastPass数据泄露事件后,研究人员对其他密码管理工具的审查。LastPass曾因仅采用10万次迭代(旧账户5,000次)而受到批评。Bitwarden在2018年就收到过类似问题报告,但未彻底解决。
解决方案与争议
- 配置升级:
- 新账户默认迭代次数从200,001次提升至350,000次
- 后根据OWASP新指南调整为600,000次
- 遗留问题:
- 现有账户是否自动升级尚不明确
- Mastodon声明引发社区对升级计划的质疑
- Bitwarden官方将此视为"功能请求"
安全影响
当密码库服务器遭入侵时,不足的哈希迭代次数会大幅降低暴力破解难度。用户可通过手动设置提高迭代次数,但普通用户往往缺乏相关意识。