Πώς να διαβάσετε έναν έλεγχο ασφαλείας διαχειριστή κωδικών: Cure53, ISE, SOC 2 — και τι καλύπτει πραγματικά το καθένα
Διαφορετικοί τύποι ελέγχου εξετάζουν διαφορετικά πράγματα. Ο Cure53 καλύπτει την κρυπτογραφική υλοποίηση· ο SOC 2 καλύπτει τους οργανωτικούς ελέγχους. Εδώ είναι τι έχει δημοσιεύσει πραγματικά κάθε μεγάλος διαχειριστής κωδικών.
Οι τρεις τύποι ελέγχου που έχουν σημασία
(1) Κρυπτογραφικός έλεγχος / έλεγχος διείσδυσης — μια εταιρεία ασφαλείας (Cure53, ISE, NCC Group, Praetorian) εξετάζει την κρυπτογραφική υλοποίηση, τους ελέγχους πρόσβασης διακομιστή και τις εφαρμογές-πελάτες και αναφέρει ευρήματα με βαθμολογίες σοβαρότητας. Ο έλεγχος είναι καλός όταν η πλήρης αναφορά δημοσιεύεται με το όνομα του ελεγκτή, την ημερομηνία και το εύρος. (2) SOC 2 Type II — ένας έλεγχος οργανωτικών ελέγχων που καλύπτει ασφάλεια, διαθεσιμότητα, ακεραιότητα επεξεργασίας, εμπιστευτικότητα και απόρρητο σε λειτουργικό επίπεδο σε ένα παράθυρο παρατήρησης 6+ μηνών. (3) ISO 27001 — μια πιστοποίηση ενός συστήματος διαχείρισης ασφάλειας πληροφοριών. Type 1 ≠ Type 2, το εύρος έχει μεγαλύτερη σημασία από το σήμα.
Τι έχει δημοσιεύσει κάθε διαχειριστής
Bitwarden: ετήσιοι έλεγχοι από τρίτους (Cure53, ISE, Insight Risk Consulting)· αναφορές με σύνδεσμο από bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + δοκιμές διείσδυσης ISE· ιστορικό ελέγχων ασφαλείας στο 1password.com/security-audit. Proton Pass: πλήρης έλεγχος ασφαλείας Cure53 κατά την κυκλοφορία (2023, χωρίς κρίσιμα ευρήματα, μέτρια ευρήματα αποκαταστάθηκαν πριν την κυκλοφορία) σύμφωνα με proton.me/blog/pass-launch. NordPass: έλεγχος white-box Cure53 τον Φεβ. 2020, δεύτερος έλεγχος Cure53 στο NordPass Business το 2021, SOC 2 Type 2, πιστοποιημένο κατά ISO 27001 σύμφωνα με nordpass.com/features/security. KeePassXC: ανοιχτός κώδικας ελεγμένος από την κοινότητα — κανένας ανατεθειμένος έλεγχος από τρίτους, αλλά ο πηγαίος κώδικας είναι δημόσιος στο GitHub.
Προειδοποιητικά σημάδια στο μάρκετινγκ των ελέγχων
(1) Ένας έλεγχος που διενεργήθηκε από λογιστική εταιρεία χωρίς δημοσιευμένο όνομα εταιρείας ασφαλείας. (2) Ένα εύρος ελέγχου περιορισμένο στην «εφαρμογή» χωρίς να προσδιορίζεται ποια στοιχεία. (3) Ένας έλεγχος παλαιότερος των 24 μηνών σε προϊόν του οποίου η αρχιτεκτονική έχει αλλάξει. (4) Μια συνοπτική επιστολή αντί για πλήρη αναφορά. (5) Ένας έλεγχος που διενεργήθηκε πριν από μια σημαντική έκδοση που άλλαξε ουσιωδώς την κρυπτογραφική υλοποίηση. Κανένας από τους πέντε διαχειριστές σε αυτή τη σύγκριση δεν ταιριάζει σε αυτά τα μοτίβα· οι ανακοινώσεις της LastPass μετά την παραβίαση (που εξαιρούνται από αυτή τη σύγκριση) παρουσίαζαν ωστόσο αρκετά από αυτά.
Τι δεν καλύπτει ένας έλεγχος
Οι έλεγχοι τεκμηριώνουν αυτό που εξέτασε η εταιρεία ασφαλείας σε μια συγκεκριμένη χρονική στιγμή. Δεν καλύπτουν επιθέσεις στην αλυσίδα εφοδιασμού (παραβιασμένες εξαρτήσεις npm στο build του πελάτη), εσωτερικό κίνδυνο στον πάροχο ή νέες ευπάθειες που ανακαλύπτονται μετά το παράθυρο ελέγχου. Οι άμυνες απέναντι σε αυτά είναι οι ανοιχτού κώδικα πελάτες (ώστε οι ερευνητές να μπορούν να επαληθεύσουν κάθε έκδοση ανεξάρτητα — Bitwarden, Proton Pass, KeePassXC), τα προγράμματα bug-bounty (η 1Password χρησιμοποιεί το Bugcrowd· η Bitwarden χρησιμοποιεί το HackerOne) και αρχιτεκτονικές επιλογές όπως το 1Password Secret Key (ένα πρόσθετο, τοπικά αποθηκευμένο μυστικό που σημαίνει ότι μια παραβίαση διακομιστή από μόνη της δεν μπορεί να αποκρυπτογραφήσει τα χρηματοκιβώτια).
Πηγές
Έλεγχοι Bitwarden: bitwarden.com/help/is-bitwarden-audited. Έλεγχοι ασφαλείας 1Password: 1password.com/security-audit. Έλεγχος Cure53 του Proton Pass: proton.me/blog/pass-launch. Ασφάλεια NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Όλες οι διευθύνσεις URL προσπελάστηκαν στις 2026-04-30.