Битварден је ангажовао немачку компанију за сигурност Цуре 53 да изврши ревизију сигурности Битварден софтвера и технологија које користи служба за управљање лозинкама.
Битварден је популаран избор када је реч о менаџерима лозинки; то је опен соурце, програми су доступни за све главне оперативне системе за десктоп рачунаре, Андроид и иОС мобилне платформе, Веб, као проширења прегледача, па чак и наредбену линију.
Лек 53 је ангажован да "изврши тестирање продирања у белу кутију, ревизију изворног кода и криптографску анализу Битварденовог екосистема апликација и придружених библиотека кода".
Битварден је објавио ПДФ документ у коме се истичу налази компаније за обезбеђење током ревизије и одговор компаније.
Израз истраживања открио је неколико рањивости и проблема у Битвардену. Битварден је извршио измјене у свом софтверу за тренутно рјешавање горућих проблема; компанија је променила начин рада УРИ-а за пријаву ограничавајући дозвољене протоколе.
Компанија је увела списак дозвола који дозвољава шеме хттпс, ссх, хттп, фтп, сфтп, ирц и цхроме само у тренутку и не друге шеме попут датотеке.
Четири преостале рањивости које су истраживачки термини пронашли током скенирања нису захтевале тренутне мере према Битварденовој анализи проблема.
Истраживачи су критиковали лаксно правило лозинке главне апликације да прихвата било коју главну лозинку, под условом да је дуга најмање осам знакова. Битварден планира да у будуће верзије уведе провере јачине лозинке и обавештења како би подстакао кориснике да одаберу матичне лозинке које су јаче и које се лако не могу сломити.
Два питања захтевају компромитован систем. Битварден не мења шифре шифровања када корисник промени главну лозинку и компромитовани АПИ сервер може се користити за крађу кључева за шифровање. Битварден се може подесити појединачно на инфраструктури која је у власништву појединог корисника или компаније.
Коначни проблем откривен је у руковању Битварденовом функцијом аутоматског попуњавања на веб локацијама које користе уграђене ифрамес. Функција аутоматског попуњавања провјерава само адресу највишег нивоа, а не УРЛ који користи уграђени ифрамес. Злонамјерни актери би могли користити уграђене ифрамме на легитимним веб локацијама за крађу података о аутоматском попуњавању.
Сада ви : Који менаџер лозинки користите, зашто?
