국내 보안 프로그램의 문제를 지적한 사람이 비트워든의 보안 취약점을 공개했습니다.
비트워든의 이터레이션이 낮게 설정되어 있어 보안에 취약하다고 합니다.
좀 불편해도 랜덤으로 기기 전용 보안키를 생성하는 1password와 달리, 비트워든은 마스터 비밀번호만으로 로그인 가능한 구조라
무작위 대입 공격으로부터 보호하는 이터레이션(iteration) 수가 너무 낮아 보안에 취약하다고 합니다.
비트워든 개발자도 기존 10만을 신규 계정부터 60만으로 바꾼다고 했습니다.
기존 계정 사용자 분들은 설정 - Security - Keys에서 KDF 이터레이션을 수정하면 됩니다.
털린것도 아니고 보안수준 높여달라는 요구고 그걸 받아들여서 이미 조치한거
Lastpass가 수시로 털려서 Bitwarden으로 바꿨더니 여기도 문제가 있었네 어휴
Lastpass가 수시로 털려서 Bitwarden으로 바꿨더니 여기도 문제가 있었네 어휴
Lastpass도 털렸었나요?? 몰랐네요.
따구리
털린것도 아니고 보안수준 높여달라는 요구고 그걸 받아들여서 이미 조치한거
거긴 작년만해도 3번정도 털림 매년 그정도 털림
OTP 2중 인증 해두면 되지 않나...?
이거 자체도 보관함 웹 로그인은 2FA 걸어둘 수 있고 진짜 신경쓰인다면 유비키도 지원해서 엄청 위험하다고 호들갑 떨 정도는 아님...
털린건 아니고, 마스터 패스워드를 복호화 하지 못하게 암호화(해시화)를 여러번 하는데 2018년 이전에 생성된 계정은 기본 설정 횟수가 5000번, 그 이후에는 10만번이였고, (기존부터 유저가 자유자재로 바꿀 수 있게 제공됐음) 10만번도 작다고 저 블로그 글이 올라오고 나서 몇시간만에 신규계정은 60만으로 설정 하고, 기존 계정도 조치하겠다고 발표한게 풀 스토리로 알고있습니다.
음... 댓글들 보고 여기도 쓸만하겠구나 싶어서, 여태 쓰던 Lastpass에 백업용(?)으로 Bitwarden 쪽을 하나 만들었네요; 여기도 괜찮게 잘 쓸 수 있겠지 싶어 기대합니다.