Kako čitati sigurnosnu reviziju upravitelja lozinki: Cure53, ISE, SOC 2 i što svaka zapravo obuhvaća
Različite vrste revizija provjeravaju različite stvari. Cure53 obuhvaća kriptografsku implementaciju; SOC 2 obuhvaća organizacijske kontrole. Evo što je svaki veliki upravitelj lozinki zapravo objavio.
Tri vrste revizija koje su važne
(1) Kriptografska / penetracijska revizija — sigurnosna tvrtka (Cure53, ISE, NCC Group, Praetorian) ispituje kriptografsku implementaciju, kontrole pristupa poslužitelju i klijentske aplikacije te izvještava o nalazima s ocjenama ozbiljnosti. Revizija je dobra kada se objavi cjeloviti izvještaj s imenom revizora, datumom i opsegom. (2) SOC 2 Type II — revizija organizacijskih kontrola koja obuhvaća sigurnost, dostupnost, integritet obrade, povjerljivost i privatnost na operativnoj razini tijekom razdoblja promatranja od 6+ mjeseci. (3) ISO 27001 — certifikacija sustava upravljanja informacijskom sigurnošću. Type 1 ≠ Type 2, opseg je važniji od oznake.
Što je svaki upravitelj objavio
Bitwarden: godišnje revizije neovisnih trećih strana (Cure53, ISE, Insight Risk Consulting); izvještaji povezani na bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE penetracijski testovi; povijest sigurnosnih revizija na 1password.com/security-audit. Proton Pass: cjelovita Cure53 sigurnosna revizija pri lansiranju (2023., bez kritičnih nalaza, umjereni nalazi otklonjeni prije lansiranja) prema proton.me/blog/pass-launch. NordPass: Cure53 white-box revizija u veljači 2020., druga Cure53 revizija za NordPass Business 2021., SOC 2 Type 2, ISO 27001 certificiran prema nordpass.com/features/security. KeePassXC: otvoreni kôd revidiran od strane zajednice — nema naručene revizije treće strane, ali je izvorni kôd javan na GitHubu.
Crvene zastavice u marketingu revizija
(1) Revizija koju je provela računovodstvena tvrtka bez objavljenog imena sigurnosne tvrtke. (2) Opseg revizije ograničen na „aplikaciju” bez navođenja koje komponente. (3) Revizija starija od 24 mjeseca na proizvodu čija se arhitektura promijenila. (4) Sažeto pismo umjesto cjelovitog izvještaja. (5) Revizija provedena prije velikog izdanja verzije koje je bitno promijenilo kriptografsku implementaciju. Nijedan od pet upravitelja u ovoj usporedbi ne odgovara tim obrascima; komunikacija LastPassa nakon proboja (isključena iz ove usporedbe) doista je pokazivala nekoliko njih.
Što revizija ne obuhvaća
Revizije dokumentiraju ono što je sigurnosna tvrtka provjerila u jednom trenutku u vremenu. Ne obuhvaćaju napade na opskrbni lanac (kompromitirane npm ovisnosti u izgradnji klijenta), insajderski rizik kod dobavljača ni nove ranjivosti otkrivene nakon razdoblja revizije. Obrana od toga jesu klijenti otvorenog kôda (kako bi istraživači mogli neovisno provjeriti svako izdanje — Bitwarden, Proton Pass, KeePassXC), programi nagrada za otkrivanje grešaka (1Password vodi Bugcrowd; Bitwarden vodi HackerOne) i arhitektonske odluke poput 1Password Secret Keya (dodatne, lokalno pohranjene tajne koja znači da proboj poslužitelja sam po sebi ne može dešifrirati trezore).
Izvori
Bitwarden revizije: bitwarden.com/help/is-bitwarden-audited. 1Password sigurnosne revizije: 1password.com/security-audit. Proton Pass Cure53 revizija: proton.me/blog/pass-launch. NordPass sigurnost: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Svi URL-ovi pristupljeni 2026-04-30.