Hvernig á að lesa öryggisúttekt lykilorðastjóra: Cure53, ISE, SOC 2 og hvað hver þeirra þekur í raun
Mismunandi úttektartegundir kanna mismunandi hluti. Cure53 þekur dulritunarútfærsluna; SOC 2 þekur skipulagslegar eftirlitsráðstafanir. Hér er það sem hver stór lykilorðastjóri hefur í raun birt.
Þrjár úttektartegundir sem skipta máli
(1) Dulritunar- / innbrotsúttekt — öryggisfyrirtæki (Cure53, ISE, NCC Group, Praetorian) kannar dulritunarútfærsluna, aðgangsstýringar þjónsins og biðlaraforritin og greinir frá niðurstöðum með alvarleikamati. Úttektin er góð þegar full skýrsla er birt með nafni úttektaraðila, dagsetningu og umfangi. (2) SOC 2 Type II — úttekt á skipulagslegum eftirlitsráðstöfunum sem þekur öryggi, aðgengi, vinnsluheilleika, trúnað og friðhelgi á rekstrarstigi yfir athugunarglugga sem spannar 6+ mánuði. (3) ISO 27001 — vottun á stjórnkerfi upplýsingaöryggis. Type 1 ≠ Type 2, umfangið skiptir meira máli en merkið.
Hvað hver stjóri hefur birt
Bitwarden: árlegar úttektir þriðja aðila (Cure53, ISE, Insight Risk Consulting); skýrslur tengdar frá bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE-innbrotsprófanir; saga öryggisúttekta á 1password.com/security-audit. Proton Pass: full Cure53-öryggisúttekt við opnun (2023, engar alvarlegar niðurstöður, miðlungs niðurstöður lagfærðar fyrir opnun) samkvæmt proton.me/blog/pass-launch. NordPass: Cure53 white-box-úttekt feb 2020, önnur Cure53-úttekt á NordPass Business 2021, SOC 2 Type 2, ISO 27001-vottun samkvæmt nordpass.com/features/security. KeePassXC: samfélagsúttekinn opinn frumkóði — engin pöntuð úttekt þriðja aðila, en frumkóðinn er opinber á GitHub.
Viðvörunarmerki í úttektarmarkaðssetningu
(1) Úttekt framkvæmd af endurskoðunarfyrirtæki án birts nafns öryggisfyrirtækis. (2) Úttektarumfang takmarkað við „forritið“ án þess að tilgreina hvaða einingar. (3) Úttekt eldri en 24 mánaða á vöru sem hefur breytt högun sinni. (4) Samantektarbréf í stað fullrar skýrslu. (5) Úttekt framkvæmd fyrir stóra útgáfu sem breytti dulritunarútfærslunni verulega. Enginn af fimm stjórunum í þessum samanburði fellur að þessum mynstrum; samskipti LastPass eftir innbrotið (undanskilin þessum samanburði) sýndu hins vegar nokkur þeirra.
Hvað úttekt þekur ekki
Úttektir skjalfesta það sem öryggisfyrirtækið kannaði á einum tímapunkti. Þær þekja ekki birgðakeðjuárásir (málamiðlaðar npm-ávirkjar í biðlarasmíð), innherjaáhættu hjá söluaðilanum eða nýja veikleika sem uppgötvast eftir úttektargluggann. Varnirnar gegn því eru biðlarar með opnum frumkóða (svo rannsakendur geti staðfest hverja útgáfu sjálfstætt — Bitwarden, Proton Pass, KeePassXC), villufundarverðlaunaáætlanir (1Password rekur Bugcrowd; Bitwarden rekur HackerOne) og högunarval eins og 1Password Secret Key (viðbótarleyndarmál sem geymt er staðbundið og þýðir að innbrot í þjón eitt og sér getur ekki afkóðað hvelfingar).
Heimildir
Bitwarden-endurskoðanir: bitwarden.com/help/is-bitwarden-audited. 1Password-öryggisúttektir: 1password.com/security-audit. Proton Pass Cure53-úttekt: proton.me/blog/pass-launch. NordPass-öryggi: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Allar vefslóðir sóttar 2026-04-30.