Диспетчер паролей с открытым исходным кодом Bitwarden Password Manager поддерживает биометрические методы аутентификации. В приложении для Windows поддерживается служба Windows Hello, позволяющая использовать биометрическую аутентификацию для доступа к своим паролям и другим данным хранилища. Однако до недавнего времени можно было использовать сохраненные данные для доступа к хранилищу пользователя без аутентификации в определенных ситуациях.
Уязвимость позволяла любому лицу, имеющему локальный доступ к компьютеру с установленным Bitwarden и включенной разблокировкой Windows Hello, просматривать все содержимое хранилища. Злоумышленники также могли использовать API-вызовы для изменения данных и их обновления на сервере Bitwarden.
Пользователь приложения Bitwarden для Windows может настроить разблокировку своего хранилища через Windows Hello, выбрав Файл > Настройки > Разблокировать с Windows Hello. Диспетчер паролей создает биометрический мастер-ключ при выборе этого параметра и сохраняет его в наборе учетных данных пользователя в системе.
При правильной реализации аутентификации пользователям предлагается пройти аутентификацию, чтобы разблокировать доступ к хранилищу. В сообщении на Hacker One объясняется, что на самом деле аутентификация через Windows Hello была не нужна и любой пользователь с доступом к системе, мог закомментировать строку, чтобы разблокировать хранилище пользователя без какой-либо формы аутентификации.
Автор публикации поясняет:
Биометрический мастер-ключ фактически может быть получен с помощью простого вызова функции CredRead в Windows API, а затем использован для расшифровки локально сохраненных данных, находящихся в %appdata%\Bitwarden\data.json. Поэтому запрос аутентификации с помощью Windows Hello дает пользователю ложное ощущение безопасности, создавая впечатление, что для расшифровки данных хранилища требуется аутентификация, хотя на самом деле это не так.
Файлы могут быть прочитаны без повышения привилегий, и они также доступны для любой учетной записи администратора. Проблема затрагивает пользователей Bitwarden для Windows, которые выбрали использование Windows Hello для разблокировки доступа к хранилищу.
Исправление проблемы
Разработчики Bitwarden выпустили обновление для Windows, которое решает проблему и правильно реализует аутентификацию Windows Hello. Новые и существующие пользователи могут скачать последнюю версию с нашего сайта. Также можно воспользоваться встроенной службой обновлений, выбрав Помощь > Проверка обновлений…
Скачать Bitwarden Password Manager
Пользователи Bitwarden в Windows должны убедиться, что на их устройствах установлена версия 2023.4.0 или новее. Клиент отображает установленную версию, когда выбран пункт Помощь > О Bitwarden.
В новую версию добавлена функция безопасности Требовать пароль или PIN-код при запуске приложения, которая запрашивает пароль или ПИН-код при запуске Bitwarden с Windows Hello. Ее можно найти в настройках приложения.
В марте этого года эксперты по безопасности рекомендовали не использовать PIN-код для разблокировки хранилища Bitwarden или использовать очень сложный ПИН. Это связано с тем, что постороннее лицо с локальным доступом к системе может подобрать PIN-код методом перебора.
Обновления программ, что нового
• Обновления Samsung Galaxy со 2 по 8 февраля: тестирование One UI 8.5, патчи безопасности за январь и февраль 2026 года
• Telegram для Android получил масштабный редизайн в стиле Liquid Glass
• ИИ написал компилятор для ядра Linux за две недели: результаты теста Claude Opus 4.6
• iQOO 15 Ultra против Red Magic 11 Pro: различия в охлаждении, дисплеях и производительности
• Android 16 QPR3 для Pixel: 6 ключевых изменений, которые появятся уже в марте
• NIST: принудительная смена паролей каждые 90 дней устарела и снижает безопасность