Kuinka lukea salasanojen hallintaohjelman tietoturva-auditointia: Cure53, ISE, SOC 2 ja mitä kukin oikeasti kattaa
Eri auditointityypit tarkastavat eri asioita. Cure53 kattaa kryptografisen toteutuksen; SOC 2 kattaa organisaation kontrollit. Tässä on, mitä kukin suuri salasanojen hallintaohjelma on todella julkaissut.
Kolme merkityksellistä auditointityyppiä
(1) Kryptografinen / penetraatioauditointi — tietoturvayritys (Cure53, ISE, NCC Group, Praetorian) tutkii kryptografisen toteutuksen, palvelimen käyttöoikeuskontrollit ja asiakassovellukset sekä raportoi löydökset vakavuusluokituksin. Auditointi on hyvä, kun koko raportti julkaistaan auditoijan nimen, päivämäärän ja laajuuden kanssa. (2) SOC 2 Type II — organisaatiokontrolleja koskeva auditointi, joka kattaa tietoturvan, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden toiminnallisella tasolla yli 6 kuukauden tarkkailujakson aikana. (3) ISO 27001 — tietoturvan hallintajärjestelmän sertifiointi. Type 1 ≠ Type 2, laajuus merkitsee enemmän kuin merkki.
Mitä kukin hallintaohjelma on julkaissut
Bitwarden: vuotuiset kolmannen osapuolen auditoinnit (Cure53, ISE, Insight Risk Consulting); raportit linkitetty osoitteesta bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE-penetraatiotestit; tietoturva-auditointihistoria osoitteessa 1password.com/security-audit. Proton Pass: Cure53:n täysi tietoturva-auditointi julkaisun yhteydessä (2023, ei kriittisiä löydöksiä, kohtalaiset löydökset korjattu ennen julkaisua) lähteen proton.me/blog/pass-launch mukaan. NordPass: Cure53:n white-box-auditointi helmikuussa 2020, toinen Cure53-auditointi NordPass Businessista 2021, SOC 2 Type 2, ISO 27001 -sertifioitu lähteen nordpass.com/features/security mukaan. KeePassXC: yhteisön auditoima avoin lähdekoodi — ei tilattua kolmannen osapuolen auditointia, mutta lähdekoodi on julkinen GitHubissa.
Varoitusmerkit auditointimarkkinoinnissa
(1) Tilintarkastusyhtiön suorittama auditointi ilman julkaistua tietoturvayrityksen nimeä. (2) Auditoinnin laajuus rajattu 'sovellukseen' määrittelemättä, mitkä komponentit. (3) Yli 24 kuukautta vanha auditointi tuotteesta, jonka arkkitehtuuri on muuttunut. (4) Yhteenvetokirje täyden raportin sijaan. (5) Auditointi, joka on suoritettu ennen suurta versiojulkaisua, joka muutti kryptografista toteutusta olennaisesti. Mikään tämän vertailun viidestä hallintaohjelmasta ei sovi näihin malleihin; LastPassin murron jälkeisessä viestinnässä (jätetty pois tästä vertailusta) esiintyi useita näistä.
Mitä auditointi ei kata
Auditoinnit dokumentoivat sen, mitä tietoturvayritys tarkasti yhdessä ajankohdassa. Ne eivät kata toimitusketjuhyökkäyksiä (vaarantuneet npm-riippuvuudet asiakasohjelman buildissa), sisäpiirin riskiä palveluntarjoajalla tai uusia haavoittuvuuksia, jotka löydetään auditointijakson jälkeen. Puolustukset näitä vastaan ovat avoimen lähdekoodin asiakasohjelmat (jotta tutkijat voivat varmentaa kunkin julkaisun itsenäisesti — Bitwarden, Proton Pass, KeePassXC), bug bounty -ohjelmat (1Password käyttää Bugcrowdia; Bitwarden käyttää HackerOnea) ja arkkitehtuuriset valinnat kuten 1Passwordin Secret Key (ylimääräinen paikallisesti tallennettu salaisuus, joka tarkoittaa, ettei pelkkä palvelimen murto voi purkaa holveja).
Lähteet
Bitwardenin auditit: bitwarden.com/help/is-bitwarden-audited. 1Passwordin tietoturva-auditoinnit: 1password.com/security-audit. Proton Passin Cure53-auditointi: proton.me/blog/pass-launch. NordPassin tietoturva: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Kaikki URL-osoitteet käytetty 2026-04-30.