얼마 전 한국 보안 프로그램 문제를 지적한 블라디미르 팔란트 씨가 

이번에는 오픈소스 암호 관리자 비트워든의 이터레이션(iteration)이 낮게 설정되어 있다고 지적. ^[1]

사용성은 다소 불편해지지만 랜덤으로 기기 전용 보안 키를 생성하는 1Password와 다르게 ^[2]

비트워든은 마스터 비밀번호만으로 로그인할 수 있는 구조여서 

암호화 무작위 대입 공격으로부터 보호하는 이터레이션(iteration) 수가 중요하다고 합니다.

비트워든도 비판을 받아들여 기존에는 100,000이었는데 신규 계정부터 600,000으로 바꾼다고 합니다. ^[3]

이미 사용 중인데 숫자를 늘리고 싶으신 분은 계정 설정 - Security - Keys로 이동해 KDF 이터레이션을 수정하세요.

https://vault.bitwarden.com/#/settings/security/security-keys

---

[1] https://palant.info/2023/01/23/bitwarden-design-flaw-server-side-iterations/ (팔란트 씨 블로그)

[2] https://1password.com/ko/security/ (1Password 보안 소개 페이지)

[3] https://fosstodon.org/@bitwarden/109745277062224768 (비트워든 공식 마스토돈 계정)