Bitwarden kritiseras för osäker lösenordshantering

Lär inte vara så många som har det igång tänker jag ändå. Hoppas jag...

Skönt att det inte var något jag behöver tänka mycket på isåfall. Har inte auto-funktionen påslagen just för att det fanns varningar även när jag började använda Bitwarden för kanske två år sedan.

Varningen står även direkt under kryssrutan för att aktivera auto-fill, så det är inte bara "i dokumentationen" det syns.

Jo men nu tänker jag ändå på de som väljer att ha Bitwarden. Den skaran är oftast inte samma som använder inbyggda IE / Edge.

Autoifyllning i webläsaren har många, alldeles för många. Och att det är mer än en person som är villig att berätta sitt lösenord i telefonen till mig när jag ska hjälpa dem (IT support) är det definitivt.

Tror knappast det kan ha undgått dig att gemene man inte sätter sig och kommer ihåg 18 tecken långa randomizerade lösenord i huvudet.

Sen har ju inte alla problem med tex lastpass gjort saken lättare heller.

Att ha automatiskt ifyllda lösenord är ju lika dumt oavsett om det är bitwarden eller webläsarens inbyggda..
Lär inte vara så många som har det igång tänker jag ändå. Hoppas jag...

När de skriver "Det ökar risken för att uppgifter hamnar på villovägar om en iframe eller källan den leder till kapas" då tänker jag att om attackeraren redan kapat iframe/källan så har han ju tillgång till allas inloggningsinformation, då kvittar det om man har Lösenordshanterare eller Autofill (möjligen att man kanske skulle kunna se att något ser mysko ut på sidan innan man loggar in manuellt).

Varför skulle autofyll vara osäkrare än att kopiera och klistra in lösenordet eller skriva in det manuellt?
Är inte alla tre sätt lika osäkra?
Man kan logga knapptryckningar och läsa från clipboard med javascript.
Eller finns det någon teknisk förklaring på varför det skulle vara osäkrare?

Varför skulle autofyll vara osäkrare än att kopiera och klistra in lösenordet eller skriva in det manuellt?
Är inte alla tre sätt lika osäkra?
Man kan logga knapptryckningar och läsa från clipboard med javascript.
Eller finns det någon teknisk förklaring på varför det skulle vara osäkrare?

Att man lyckas ändra HTML på en sida är väl knappast bevis på att man har tillgång till alla lösenord, speciellt inte om de är lagrade på korrekt sätt.

Kom på en annan sak: gäller detta säkerhetshål även vid phishing? T ex om man har en fake-sida som har den riktiga sidan i en iframe, men även dolda fake-fält för användarnamn/lösenord?
Isåfall är det ju ett större problem som kan påverka mycket mer än bara vid hackade sidor. Potentiellt skulle någon isåfall kunna gå till en sida via phishing-länk, sen logga in och använda sidan helt normalt (i en iframe) samtidigt som lösenordet blir stulet.

Det du skriver är intressant men vad jag sett så gör Bitwarden (troligen andra också) en URL matchning så om fakesida/iframen inte har en correct URL till rätt domän kommer man inte få någon matchning.
Men jag har varit med om att sidor ändrat sökvägen till inloggningssidan med resultatet att man inte får match längre. Då är det lätt att man bara söker manuellt och kopierar in inloggningsuppgifterna vilket skulle göra att phishing attacken fungerar.

Password extensions autofill credentials on any webpage users have saved their credentials by design. However, the extension will perform this function in an iframe without performing a "Same-origin Policy" check. So if a page has a malicious iframe from a different domain, the manager will unknowingly hand over your credentials for them to be sent to a hacker's server. They can even fill out the login form pre-emptively without user interaction. In Bitwarden's this is a setting called "Auto-fill on page load."

Most password managers have checks in place to at least warn users of potential dangers. However, Bitwarden does not prevent or warn that an iframe from a different domain is potentially stealing credentials. It assumes that all iframes on a login page are safe. It said as much in a 2018 security report, but more on that later.

Att ha automatiskt ifyllda lösenord är ju lika dumt oavsett om det är bitwarden eller webläsarens inbyggda..
Lär inte vara så många som har det igång tänker jag ändå. Hoppas jag...

Att ha automatiskt ifyllda lösenord är ju lika dumt oavsett om det är bitwarden eller webläsarens inbyggda..
Lär inte vara så många som har det igång tänker jag ändå. Hoppas jag...

Att ha automatiskt ifyllda lösenord minskar kraftigt risken för att man matar in sitt lösenord i en phishingsite.

Enligt artikeln på Techspot så är det inte så:

Bra artikel för övrigt.

Att ha automatiskt ifyllda lösenord minskar kraftigt risken för att man matar in sitt lösenord i en phishingsite.

Men uppenbarligen också risken att den automatiskt matat in ditt lösenord i en phisingsite så....

Summa summarum är att man ska använda minst 2-faktor autentisering.

Sen kan jag tycka att det är lite ansvar på den som hostar att inte dela ut subdomäner och access för dessa till kreti och pleti hur som helst på deras domän. (jag tolkar det som att detta bara funkar om det är på samma domän men olika subdomäner)

Ja, det är lite svårt när phishingsiten ligger på samma domän som den riktiga siten. Det är till 100% på den som äger domänen att reda i...

Går också genom reklam så ett besök på aftonbladet kan sno dina login till paypal t.ex