Jak číst bezpečnostní audit správce hesel: Cure53, ISE, SOC 2 — a co každý z nich vlastně pokrývá
Různé typy auditů kontrolují různé věci. Cure53 pokrývá kryptografickou implementaci; SOC 2 pokrývá organizační kontroly. Tady je, co každý velký správce hesel skutečně zveřejnil.
Tři typy auditů, na kterých záleží
(1) Kryptografický / penetrační audit — bezpečnostní firma (Cure53, ISE, NCC Group, Praetorian) prozkoumá kryptografickou implementaci, kontroly přístupu k serveru a klientské aplikace a hlásí nálezy s hodnocením závažnosti. Audit je hodnotný, když je zveřejněna celá zpráva se jménem auditora, datem a rozsahem. (2) SOC 2 Type II — audit organizačních kontrol pokrývající bezpečnost, dostupnost, integritu zpracování, důvěrnost a soukromí na provozní úrovni v pozorovacím okně delším než 6 měsíců. (3) ISO 27001 — certifikace systému řízení bezpečnosti informací. Type 1 ≠ Type 2, na rozsahu záleží více než na odznaku.
Co každý správce zveřejnil
Bitwarden: každoroční audity třetích stran (Cure53, ISE, Insight Risk Consulting); zprávy odkazované z bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + penetrační testy ISE; historie auditů na 1password.com/security-audit. Proton Pass: kompletní bezpečnostní audit Cure53 při spuštění (2023, žádné kritické nálezy, mírné nálezy odstraněny před spuštěním) podle proton.me/blog/pass-launch. NordPass: white-box audit Cure53 únor 2020, druhý audit Cure53 pro NordPass Business 2021, SOC 2 Type 2, certifikace ISO 27001 podle nordpass.com/features/security. KeePassXC: open source auditovaný komunitou — žádný zadaný audit třetí strany, ale zdrojový kód je veřejný na GitHubu.
Varovné signály v marketingu auditů
(1) Audit provedený účetní firmou bez zveřejněného jména bezpečnostní firmy. (2) Rozsah auditu omezený na „aplikaci“ bez upřesnění, které komponenty. (3) Audit starší než 24 měsíců u produktu, jehož architektura se změnila. (4) Souhrnný dopis namísto celé zprávy. (5) Audit provedený před vydáním velké verze, která podstatně změnila kryptografickou implementaci. Žádný z pěti správců v tomto srovnání těmto vzorcům neodpovídá; komunikace LastPass po úniku dat (z tohoto srovnání vyloučena) jich naopak vykazovala hned několik.
Co audit nepokrývá
Audity dokumentují, co bezpečnostní firma zkontrolovala v jednom okamžiku. Nepokrývají útoky na dodavatelský řetězec (kompromitované npm závislosti v sestavení klienta), interní riziko u poskytovatele ani nové zranitelnosti objevené po skončení auditního okna. Obranou proti tomu jsou open-source klienti (aby výzkumníci mohli každé vydání nezávisle ověřit — Bitwarden, Proton Pass, KeePassXC), programy bug bounty (1Password provozuje Bugcrowd; Bitwarden provozuje HackerOne) a architektonická rozhodnutí jako 1Password Secret Key (dodatečné, lokálně uložené tajemství, díky němuž samotné narušení serveru nedokáže trezory dešifrovat).
Zdroje
Audity Bitwarden: bitwarden.com/help/is-bitwarden-audited. Bezpečnostní audity 1Password: 1password.com/security-audit. Audit Cure53 Proton Pass: proton.me/blog/pass-launch. Bezpečnost NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Všechny URL navštíveny 2026-04-30.