Kako čitati sigurnosnu reviziju menadžera lozinki: Cure53, ISE, SOC 2 — i šta svaka od njih zapravo pokriva
Različiti tipovi revizije provjeravaju različite stvari. Cure53 pokriva kriptografsku implementaciju; SOC 2 pokriva organizacione kontrole. Evo šta je svaki veliki menadžer lozinki zapravo objavio.
Tri tipa revizije koji su bitni
(1) Kriptografska / penetracijska revizija — sigurnosna firma (Cure53, ISE, NCC Group, Praetorian) ispituje kriptografsku implementaciju, kontrole pristupa serveru i klijentske aplikacije, te izvještava o nalazima sa ocjenama ozbiljnosti. Revizija je vrijedna kada se cijeli izvještaj objavi sa imenom revizora, datumom i obimom. (2) SOC 2 Type II — revizija organizacionih kontrola koja pokriva sigurnost, dostupnost, integritet obrade, povjerljivost i privatnost na operativnom nivou tokom prozora posmatranja od 6+ mjeseci. (3) ISO 27001 — certifikacija sistema upravljanja sigurnošću informacija. Type 1 ≠ Type 2, obim je važniji od oznake.
Šta je svaki menadžer objavio
Bitwarden: godišnje revizije od strane trećih lica (Cure53, ISE, Insight Risk Consulting); izvještaji povezani sa bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE penetracijski testovi; historija sigurnosnih revizija na 1password.com/security-audit. Proton Pass: potpuna sigurnosna revizija od Cure53 pri lansiranju (2023, bez kritičnih nalaza, umjereni nalazi otklonjeni prije lansiranja) prema proton.me/blog/pass-launch. NordPass: white-box revizija od Cure53 u februaru 2020., druga revizija od Cure53 za NordPass Business 2021., SOC 2 Type 2, certifikovan po ISO 27001 prema nordpass.com/features/security. KeePassXC: open source revidiran od zajednice — bez naručene revizije trećih lica, ali je izvorni kod javan na GitHubu.
Znakovi upozorenja u marketingu revizija
(1) Revizija koju je obavila računovodstvena firma bez objavljenog imena sigurnosne firme. (2) Obim revizije ograničen na 'aplikaciju' bez navođenja koje komponente. (3) Revizija starija od 24 mjeseca za proizvod čija se arhitektura promijenila. (4) Sažeto pismo umjesto cjelovitog izvještaja. (5) Revizija obavljena prije velikog izdanja verzije koje je materijalno promijenilo kriptografsku implementaciju. Nijedan od pet menadžera u ovom poređenju ne odgovara ovim obrascima; dok su komunikacije LastPassa nakon provale (isključene iz ovog poređenja) pokazale nekoliko njih.
Šta revizija ne pokriva
Revizije dokumentuju ono što je sigurnosna firma provjerila u jednom vremenskom trenutku. One ne pokrivaju napade na lanac snabdijevanja (kompromitovane npm zavisnosti u klijentskom buildu), insajderski rizik kod dobavljača, niti nove ranjivosti otkrivene nakon prozora revizije. Odbrane od toga su open-source klijenti (kako bi istraživači mogli nezavisno verifikovati svako izdanje — Bitwarden, Proton Pass, KeePassXC), bug-bounty programi (1Password vodi Bugcrowd; Bitwarden vodi HackerOne) i arhitektonski izbori poput 1Password Secret Key (dodatna lokalno pohranjena tajna koja znači da provala servera sama po sebi ne može dešifrovati trezore).
Izvori
Revizije Bitwardena: bitwarden.com/help/is-bitwarden-audited. Sigurnosne revizije 1Passworda: 1password.com/security-audit. Cure53 revizija Proton Passa: proton.me/blog/pass-launch. Sigurnost NordPassa: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Svim URL-ovima pristupljeno 2026-04-30.