Lösenordshanterare av olika slag är numera i princip en nödvändighet, för att hålla ordning på de många och olika inloggningsuppgifter som krävs till allehanda webbsidor och tjänster. Flera tjänster erbjuder därtill olika applikationer och funktioner för att automatiskt fylla i lösenord, antingen med hjälp av huvudlösenordet eller biometriska uppgifter. Det kan dock innebära kompromiss på säkerhetsfronten, något som populära lösenordshanteraren Bitwarden nu möter kritik för.
Enligt säkerhetsforskare på Flashpoint har Bitwardens webbläsartillägg en svaghet vad gäller hantering av automatisk ifyllning, som innebär risk för att användares information hamnar på avvägar. Problemet är kopplat till hur Bitwarden hanterar webbsidor som använder sig av iframe, en slags HTML-element som används för att bädda in innehåll från en annan källa, som till exempel annonser eller videoklipp.
Det är generellt sett inte osäkert i sig, förutsatt att den externa källan till innehållet är pålitlig. Det är det sista som ställer till det för lösenordshanterare och Bitwarden specifikt, genom tjänstens funktion för att automatiskt fylla i uppgifter direkt när en webbsida laddas in. Detta eftersom den även fyller i information till fält placerade i en iframe, utan att varna användaren eller verifiera var informationen tar vägen.
Det ökar risken för att uppgifter hamnar på villovägar om en iframe eller källan den leder till kapas, en problematik som i grunden inte är unik för Bitwarden. Säkerhetsforskarna medger att det inte nödvändigtvis är ett stort problem, utan riktar främst kritik mot hur tjänsten valt att hantera det. Till skillnad från flera andra tjänster saknas exempelvis någon form av varning som meddelar användaren om att de potentiellt utsätter sig för en säkerhetsrisk.
Problemet uppmärksammades redan år 2018 och då svarade Bitwarden att exkluderat en varning eftersom det finns legitima skäl till att ha inloggning i en iframe som leder till en annan källa. Skillnaden den här gången är att säkerhetsforskare lyckats skapa ett scenario där de kunnat lura lösenordshanteraren att skicka uppgifterna fel.
Hittills ser Bitwarden inte ut att ha ändrat åsikt. Det bör dock noteras att funktionen måste aktiveras manuellt i inställningarna, där det finns en varning utskriven. Flashpoint rekommenderar användare som nyttjar webbläsartillägget att inte använda funktionen som automatiskt fyller i uppgifter, utan att manuellt först kontrollera att det hamnar i rätt och säkra fält.