Как да четете одит на сигурността на мениджър на пароли: Cure53, ISE, SOC 2 — и какво всъщност покрива всеки от тях
Различните видове одити проверяват различни неща. Cure53 покрива криптографската реализация; SOC 2 покрива организационните контроли. Ето какво всъщност е публикувал всеки голям мениджър на пароли.
Трите вида одити, които имат значение
(1) Криптографски одит / тест за проникване — фирма за сигурност (Cure53, ISE, NCC Group, Praetorian) проверява криптографската реализация, контролите за достъп до сървъра и клиентските приложения и докладва находки с оценки за тежест. Одитът е добър, когато пълният доклад е публикуван с името на одитора, датата и обхвата. (2) SOC 2 Type II — одит на организационни контроли, обхващащ сигурност, наличност, цялост на обработката, поверителност и неприкосновеност на оперативно ниво в прозорец за наблюдение от 6+ месеца. (3) ISO 27001 — сертифициране на система за управление на информационната сигурност. Type 1 ≠ Type 2, обхватът има по-голямо значение от значката.
Какво е публикувал всеки мениджър
Bitwarden: годишни одити от трети страни (Cure53, ISE, Insight Risk Consulting); докладите са линкнати от bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + тестове за проникване от ISE; история на одитите на сигурността на 1password.com/security-audit. Proton Pass: пълен одит на сигурността от Cure53 при стартирането (2023, без критични находки, умерените находки отстранени преди старта) според proton.me/blog/pass-launch. NordPass: white-box одит от Cure53 през февр. 2020 г., втори одит от Cure53 на NordPass Business през 2021 г., SOC 2 Type 2, сертифициран по ISO 27001 според nordpass.com/features/security. KeePassXC: одитиран от общността отворен код — без възложен одит от трета страна, но изходният код е публичен в GitHub.
Тревожни сигнали в маркетинга на одитите
(1) Одит, извършен от счетоводна фирма без публикувано име на фирма за сигурност. (2) Обхват на одита, ограничен до „приложението“, без да се посочва кои компоненти. (3) Одит, по-стар от 24 месеца, на продукт, чиято архитектура се е променила. (4) Обобщаващо писмо вместо пълен доклад. (5) Одит, извършен преди голямо издание на версия, което съществено е променило криптографската реализация. Нито един от петте мениджъра в това сравнение не отговаря на тези модели; комуникациите на LastPass след пробива (изключени от това сравнение) обаче показваха няколко от тях.
Какво не покрива одитът
Одитите документират това, което фирмата за сигурност е проверила в един момент във времето. Те не покриват атаки по веригата за доставки (компрометирани npm зависимости в клиентския build), вътрешен риск при доставчика или нови уязвимости, открити след прозореца на одита. Защитите срещу тях са клиенти с отворен код (за да могат изследователите да проверяват всяко издание независимо — Bitwarden, Proton Pass, KeePassXC), програми за награди за грешки (1Password използва Bugcrowd; Bitwarden използва HackerOne) и архитектурни решения като 1Password Secret Key (допълнителна, локално съхранявана тайна, която означава, че пробив на сървъра сам по себе си не може да декриптира трезорите).
Източници
Одити на Bitwarden: bitwarden.com/help/is-bitwarden-audited. Одити на сигурността на 1Password: 1password.com/security-audit. Одит на Proton Pass от Cure53: proton.me/blog/pass-launch. Сигурност на NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Всички URL адреси са достъпени на 2026-04-30.