관리 메뉴

PC Geek's

비트워든(Bitwarden; 웹사이트 비밀번호관리자) 사용기 조금, 관련기사 본문

컴퓨터 고장,보안,백신/교양 읽을거리

비트워든(Bitwarden; 웹사이트 비밀번호관리자) 사용기 조금, 관련기사

1.

라스트패스를 쓸 때와 달리, 크롬 브라우저의 비트워든 애드온(플러그인)은 CPU점유율을 눈에 띄게 먹는 일이 없는 것 같습니다. 그게 가장 좋네요.

 

그리고 라스트패스는 웹사이트에 처음 패스워드를 만들 때나, 웹사이트에 처음 로그인할 때, 그 부분을 알아채고는 제안 팝업 레이어를 띄우는데, 비트워든은 그런 게 없습니다. 기본적으로 얘는, 로그인정보 입력도 수동으로 해주고, 자동로그인이 강제가 아니고(자동으로 채워주는 걸 할 수는 있는 듯) 문맥메뉴에서 비트워든을 찾아 거기서 "자동완성"을 선택해 로그인폼에 넣어주는 방식이 기본입니다.

 

 

그래서 어느 경우는 조금 불편하지만,

전체적으로 거추장스런 느낌이 없고 CPU를 먹지 않는 것 같아 좋네요.

(현재의 컴퓨터로 바꾸기 전에 그랬듯이, 지금도 웹서핑할 때 CPU팬소리로 불편을 느끼고 있습니다. 그때와 달리 지금은 웹브라우저창을 너무 많이 열어놔서 그런 탓이 크지만, 컴퓨터를 바꿔줄 때가 된 것 같습니다)

 

이제 다른 브라우저도 비트워든으로 바꿔줘야겠습니다. :)

 

 

2.

다만, 이 글을 적으며 조금 찾아보니, 비트워든도 이제 유명해서인지 보안취약점 기사가 몇 가지 보입니다. 보이는 것만 조금 링크합니다.

 

2023년 1월 보안뉴스인데,

해킹 범죄자들이 구글광고슬롯을 사서는 유튜브나 웹사이트에,

비트워든 UI를 닮은 피싱광고를 띄운다고 합니다.

그것이 마치 비트워든 메시지 팝업인 양, 긴급한 로그인이 필요한 양 사람을 속여서

클릭(터치)하면 비트워든 사이트를 베낀 가짜 사이트(피싱사이트)가 뜨고,

모르고 비트워든 로그인하듯 로그인하면 털린다는 식입니다. 

https://www.boannews.com/media/view.asp?idx=113758 

 

비트워든 비밀번호 저장소, 구글 애즈 피싱 공격의 표적이 돼

IT 외신 블리핑컴퓨터에 의하면 최근 구글 애즈(Google Ads) 플랫폼을 이용한 피싱 공격에서 비트워든(Bitwarden) 등 주요 비밀번호 관리 프로그램이 표적이 되고 있다고 한다. 공격자들은 구글 광고

www.boannews.com

https://www.itworld.co.kr/news/275125

 

이번에는 ‘가짜’ 비트워든 광고 집행한 구글…도마 위 오른 관리 체계

라스트패스(LastPass)나 1패스워드(1Password)와 같은 비밀번호 관리자 프로그램에 2022년은 험난한 해였다. 그 사이 오픈소스 서

www.itworld.co.kr

(전에 microsoft.com 인 척 위장하려고 rnicrosoft.com 을 주소로 한 피싱사이트를 스팸메일에 섞어보낸 북한해커가 머릿속에 떠올라서, 이놈들도 bitwarden.com 인 척 위장하려고 bitvvarden.com 이라도 만든 모양이라고 생각했는데, bitwardenlogin.com 이었다고 합니다.)

 

 

이건 다른 이야기. "블라디미르 팔란트"라고 네트워크 보안쪽으로 유명한 사람 사이트인데, 이 문제는 현재 가입하는 사람들은 더 해줄 수 있는 것이 없는듯.

https://palant.info/2023/01/23/bitwarden-design-flaw-server-side-iterations/

 

Bitwarden design flaw: Server side iterations

Bitwarden is a hot candidate for a LastPass replacement. Looking into how they encrypt data, it doesn’t do things that much better however.

palant.info

 

 

비밀번호관리자의 "자동 채우기(auto-fill)"(아마도 auto-login도 포함) 기능을 조심해서 하용해야 하는 이유 - itworld 2023.3월/PCWorld기사

https://www.itworld.co.kr/news/282565

 

비밀번호 관리자의 ‘자동 채우기’ 기능을 조심해서 사용해야 하는 이유

비밀번호 관리자가 제공하는 자동 채우기 기능은 사용자가 특정 웹사이트에 저장한 ID와 비밀번호로 로그인 양식을 자동으로 입력한다. 편리하긴 하지

www.itworld.co.kr

아이프레임(iframe)과 관련한 취약점은 ‘페이지 로드 시 자동 채우기’ 옵션 활성화 여부에 관계 없이 존재 (......) 이 기능을 사용하든 사용하지 않든 같은 위험을 수반하는 것으로 (......) 비트워든은 사용자가 다른 페이지나 사이트에서 호스팅되는 양식을 작성할 때는 (좋은 관리자앱과 달리) 이런 위험에 대해 경고하지 않는다. 결국 이런 취약점은 위협 행위자가 악의적으로 제작한 하위 도메인에(......)  
  
1. 자동 완성 기능이 활성화되어 있다면 꺼라. 신뢰할 수 있는 사이트에서만 수동으로 자동 완성 기능을 사용하라. 
2. 비트워든을 계속 사용하고 싶다면 "페이지 로드 시 자동 채우기" 기능을 꺼야 한다.

"공식 웹사이트가 손상되면 그 어떤 방법도 안전하지 않다. 따라서 모든 웹사이트, 서비스, 앱에 대해 무작위의 비밀번호를 설정해 피해를 최소화할 필요가 있다. 좋든 싫든 수십 개의 자격증명을 관리하는 가장 효과적인 방법은 비밀번호 관리자뿐이다" -  Alaina Yee | PCWorld 2023.03.16 / itworld.co.kr
 

 

지금 제가 쓰는 비트워든 플러그인도 페이지로드시 자동 채우기는 디폴트값으로 꺼져 있고, 로그인화면에서 문맥메뉴를 호출해 채우지만, 문맥메뉴를 호출하더라도 비트워든의 자동채우기 기능 자체가 취약점이 있으니 믿을 수 있는 사이트에서만 쓰라는 말. 믿을 수 있는 사이트라..

 

 

이 글과 같은 분류글목록으로 / 최신글목록 이동
Comments
Viewed Posts
Recent Comments
Recent Posts