Bitwarden回应加密设计缺陷批评

John Leyden
2023年1月25日 15:47 UTC
更新：2023年1月30日 13:31 UTC

密码管理服务商Bitwarden回应了对其加密方案保护用户密钥机制的批评，通过增强默认安全配置来解决问题。争议焦点在于PBKDF2哈希迭代次数：OWASP推荐使用60万次迭代（近期从31万次提升），而Bitwarden此前采用20万次迭代（客户端10万次+服务器端10万次）。安全研究员Wladimir Palant指出服务器端迭代无效，且旧账户仅使用5000次迭代，易受暴力破解攻击。

LastPass数据泄露事件暴露了类似问题——其迭代次数不足10万次，且未迁移旧账户（仅5000次）。Palant的调查促使Bitwarden行动：新账户默认客户端迭代次数先提升至35万次，后根据OWASP指南调整为60万次，但现有账户是否自动升级仍未明确。Bitwarden社区对其模糊的升级计划表示困惑，官方将此视为功能请求而非紧急漏洞。

加密密钥仅通过用户主密码派生，迭代次数不足将直接威胁数据安全。此问题五年前已被研究人员报告，但当时未受重视。LastPass事件后，Bitwarden的改进体现了行业对加密最佳实践的重新关注。