Kuidas lugeda paroolihalduri turvaauditit: Cure53, ISE, SOC 2 ja mida igaüks tegelikult katab
Erinevad audititüübid kontrollivad erinevaid asju. Cure53 katab krüptograafilise teostuse; SOC 2 katab organisatsioonilised kontrollid. Siin on see, mida iga suurem paroolihaldur on tegelikult avaldanud.
Kolm olulist audititüüpi
(1) Krüptograafiline / läbistusaudit — turvafirma (Cure53, ISE, NCC Group, Praetorian) uurib krüptograafilist teostust, serveri juurdepääsukontrolle ja kliendirakendusi ning teatab leidudest koos raskusastme hinnangutega. Audit on hea, kui täielik aruanne avaldatakse koos audiitori nime, kuupäeva ja ulatusega. (2) SOC 2 Type II — organisatsiooniliste kontrollide audit, mis katab turvalisuse, kättesaadavuse, töötlemise terviklikkuse, konfidentsiaalsuse ja privaatsuse operatiivsel tasandil 6+ kuu pikkuse vaatlusakna jooksul. (3) ISO 27001 — infoturbe haldussüsteemi sertifitseerimine. Type 1 ≠ Type 2, ulatus loeb rohkem kui märk.
Mida iga haldur on avaldanud
Bitwarden: iga-aastased kolmandate osapoolte auditid (Cure53, ISE, Insight Risk Consulting); aruanded lingitud aadressilt bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE läbistustestid; turvaauditite ajalugu aadressil 1password.com/security-audit. Proton Pass: Cure53 täielik turvaaudit käivitamisel (2023, kriitilisi leide ei olnud, mõõdukad leiud kõrvaldatud enne käivitamist) vastavalt proton.me/blog/pass-launch. NordPass: Cure53 white-box audit veebr 2020, teine Cure53 audit NordPass Businessil 2021, SOC 2 Type 2, ISO 27001 sertifitseeritud vastavalt nordpass.com/features/security. KeePassXC: kogukonna auditeeritud avatud lähtekood — tellitud kolmanda osapoole auditit ei ole, kuid lähtekood on GitHubis avalik.
Hoiatusmärgid audititurunduses
(1) Audit, mille viis läbi raamatupidamisfirma ilma avaldatud turvafirma nimeta. (2) Auditi ulatus, mis on piiratud „rakendusega“ täpsustamata, milliseid komponente. (3) Audit, mis on vanem kui 24 kuud tootel, mille arhitektuur on muutunud. (4) Kokkuvõtlik kiri täieliku aruande asemel. (5) Audit, mis viidi läbi enne suuremat versiooniväljaannet, mis muutis krüptograafilist teostust oluliselt. Ükski viiest selle võrdluse haldurist ei vasta nendele mustritele; LastPassi rikkumisjärgne kommunikatsioon (sellest võrdlusest välja jäetud) küll näitas mitut neist.
Mida audit ei kata
Auditid dokumenteerivad, mida turvafirma ühel ajahetkel kontrollis. Need ei kata tarneahela rünnakuid (kompromiteeritud npm-sõltuvused kliendi koostes), insaiderriski pakkuja juures ega uusi haavatavusi, mis avastatakse pärast auditiakent. Kaitsed nende vastu on avatud lähtekoodiga kliendid (et teadlased saaksid iga väljaande sõltumatult kontrollida — Bitwarden, Proton Pass, KeePassXC), vigade premeerimise programmid (1Password haldab Bugcrowdi; Bitwarden haldab HackerOne'i) ja arhitektuursed valikud nagu 1Password Secret Key (täiendav lokaalselt salvestatud saladus, mis tähendab, et üksnes serveri rikkumine ei suuda hoidlaid dekrüpteerida).
Allikad
Bitwardeni auditid: bitwarden.com/help/is-bitwarden-audited. 1Password turvaauditid: 1password.com/security-audit. Proton Pass Cure53 audit: proton.me/blog/pass-launch. NordPass turvalisus: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Kõik URL-id avatud 2026-04-30.