Hogyan olvass el egy jelszókezelő biztonsági auditot: Cure53, ISE, SOC 2 — és mit fed le valójában mindegyik
A különböző audittípusok különböző dolgokat ellenőriznek. A Cure53 a kriptográfiai megvalósítást fedi le; a SOC 2 a szervezeti kontrollokat. Íme, mit tett közzé valójában minden nagyobb jelszókezelő.
A három audittípus, amely számít
(1) Kriptográfiai / behatolástesztelési audit — egy biztonsági cég (Cure53, ISE, NCC Group, Praetorian) megvizsgálja a kriptográfiai megvalósítást, a szerver-hozzáférési kontrollokat és a kliensalkalmazásokat, és súlyossági besorolással jelenti a megállapításokat. Az audit akkor jó, ha a teljes jelentést közzéteszik az auditor nevével, dátumával és hatókörével. (2) SOC 2 Type II — egy szervezeti kontroll audit, amely a biztonságot, a rendelkezésre állást, a feldolgozás integritását, a bizalmas kezelést és az adatvédelmet fedi le operatív szinten, egy 6+ hónapos megfigyelési ablakban. (3) ISO 27001 — egy információbiztonsági irányítási rendszer tanúsítása. A Type 1 ≠ Type 2, a hatókör többet számít, mint a pecsét.
Mit tett közzé minden kezelő
Bitwarden: éves, harmadik fél általi auditok (Cure53, ISE, Insight Risk Consulting); a jelentések a bitwarden.com/help/is-bitwarden-audited oldalról linkelve. 1Password: SOC 2 Type II + ISE behatolástesztek; az auditok története az 1password.com/security-audit oldalon. Proton Pass: teljes Cure53 biztonsági audit az indításkor (2023, nem volt kritikus megállapítás, a mérsékelt megállapításokat az indítás előtt orvosolták) a proton.me/blog/pass-launch szerint. NordPass: Cure53 white-box audit 2020 februárjában, második Cure53 audit a NordPass Business számára 2021-ben, SOC 2 Type 2, ISO 27001 tanúsított a nordpass.com/features/security szerint. KeePassXC: közösség által auditált nyílt forráskód — nincs megrendelt, harmadik fél általi audit, de a forráskód nyilvános a GitHubon.
Vészjelzések az auditmarketingben
(1) Egy könyvelőcég által végzett audit, közzétett biztonsági cégnév nélkül. (2) Egy „az alkalmazásra” korlátozott audithatókör, amely nem határozza meg, mely komponensekre vonatkozik. (3) Egy 24 hónapnál régebbi audit egy olyan terméken, amelynek megváltozott az architektúrája. (4) Egy összefoglaló levél a teljes jelentés helyett. (5) Egy nagyobb verziókiadás előtt végzett audit, amely lényegesen megváltoztatta a kriptográfiai megvalósítást. Az ebben az összehasonlításban szereplő öt kezelő egyike sem illeszkedik ezekhez a mintákhoz; a LastPass adatszivárgás utáni kommunikációja (kizárva ebből az összehasonlításból) viszont többet is mutatott közülük.
Mit nem fed le egy audit
Az auditok azt dokumentálják, amit a biztonsági cég egy adott időpontban ellenőrzött. Nem fedik le az ellátási lánc elleni támadásokat (kompromittált npm-függőségek a kliens buildjében), a szolgáltatónál fennálló bennfentes kockázatot, illetve az audit ablaka után felfedezett új sebezhetőségeket. Az ezek elleni védelmet a nyílt forráskódú kliensek (hogy a kutatók minden kiadást függetlenül ellenőrizhessenek — Bitwarden, Proton Pass, KeePassXC), a bug-bounty programok (az 1Password Bugcrowdot üzemeltet; a Bitwarden HackerOne-t) és az olyan architekturális döntések jelentik, mint az 1Password Secret Key (egy további, helyileg tárolt titok, amely azt jelenti, hogy egy szerver-adatszivárgás önmagában nem tudja visszafejteni a széfeket).
Források
Bitwarden-auditok: bitwarden.com/help/is-bitwarden-audited. 1Password biztonsági auditok: 1password.com/security-audit. Proton Pass Cure53 audit: proton.me/blog/pass-launch. NordPass biztonság: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Minden URL elérve 2026-04-30-án.