Wladimir Palant si ve svém článku posvítil na to, jak funguje odvozování klíčů (KDF) u open-source správce hesel Bitwarden. To se provádí na straně klienta a serveru, nicméně podle jeho zjištění počet iterací KDF provedených na serveru nepřináší kvůli způsobu, jakým jsou implementovány, žádný bezpečnostní přínos. Z čehož vyplývá, že je potřeba ohlídat si nastavení KDF na straně klienta, protože dostatečně vysoký počet iterací hraje významnou roli ve zpomalení útočníka snažícího se uhádnout hlavní heslo trezoru.
Firma Bitwarden postupem času navyšuje hodnotu iterací KDF pro nové účty (aktuálně je to 350 000), ale není jasné, jakým způsobem probíhá upgrade účtů již existujících, protože někteří dlouhodobí zákazníci mají nastaveno jenom 100 000 iterací. Ovšem OWASP doporučuje u použitého algoritmu PBKDF2-HMAC-SHA256 dokonce až 600 000 iterací.
Pokud chcete zvýšit odolnost své databáze hesel proti offline brute-force útoku a nelimituje vás výkon vašeho hardware, přihlaste se do webového rozhraní Bitwardenu, otevřete si Account Settings → Security → Keys, kde se nachází parametr KDF iterations. Po změně nastavení KDF vás Bitwarden odhlásí ze všech přihlášených sezení včetně toho webového.
