Come leggere l'audit di sicurezza di un password manager: Cure53, ISE, SOC 2 e cosa copre davvero ciascuno
Tipi di audit diversi verificano cose diverse. Cure53 copre l'implementazione crittografica; SOC 2 copre i controlli organizzativi. Ecco cosa ha effettivamente pubblicato ogni principale password manager.
I tre tipi di audit che contano
(1) Audit crittografico / penetration test — una società di sicurezza (Cure53, ISE, NCC Group, Praetorian) esamina l'implementazione crittografica, i controlli di accesso al server, le app client e riporta i risultati con valutazioni di gravità. L'audit è valido quando il report completo è pubblicato con nome dell'auditor, data e ambito. (2) SOC 2 Type II — un audit sui controlli organizzativi che copre sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy a livello operativo su una finestra di osservazione di 6+ mesi. (3) ISO 27001 — una certificazione di un sistema di gestione della sicurezza delle informazioni. Type 1 ≠ Type 2, l'ambito conta più del badge.
Cosa ha pubblicato ciascun manager
Bitwarden: audit annuali di terze parti (Cure53, ISE, Insight Risk Consulting); report collegati da bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + penetration test ISE; cronologia degli audit di sicurezza su 1password.com/security-audit. Proton Pass: audit di sicurezza completo Cure53 al lancio (2023, nessun risultato critico, risultati moderati risolti prima del lancio) secondo proton.me/blog/pass-launch. NordPass: audit white-box Cure53 a febbraio 2020, secondo audit Cure53 su NordPass Business nel 2021, SOC 2 Type 2, certificato ISO 27001 secondo nordpass.com/features/security. KeePassXC: open source sottoposto ad audit dalla community — nessun audit di terze parti commissionato, ma il codice sorgente è pubblico su GitHub.
Campanelli d'allarme nel marketing degli audit
(1) Un audit eseguito da una società di revisione contabile senza il nome di una società di sicurezza pubblicato. (2) Un ambito di audit limitato a «l'applicazione» senza specificare quali componenti. (3) Un audit più vecchio di 24 mesi su un prodotto la cui architettura è cambiata. (4) Una lettera di sintesi anziché un report completo. (5) Un audit eseguito prima del rilascio di una versione importante che ha modificato in modo sostanziale l'implementazione crittografica. Nessuno dei cinque manager in questo confronto rientra in questi schemi; le comunicazioni post-violazione di LastPass (escluso da questo confronto) ne mostravano invece diversi.
Cosa non copre un audit
Gli audit documentano ciò che la società di sicurezza ha verificato in un dato momento. Non coprono gli attacchi alla supply chain (dipendenze npm compromesse nella build del client), il rischio interno presso il fornitore o le nuove vulnerabilità scoperte dopo la finestra dell'audit. Le difese contro questi rischi sono i client open-source (così i ricercatori possono verificare ogni release in modo indipendente — Bitwarden, Proton Pass, KeePassXC), i programmi bug-bounty (1Password usa Bugcrowd; Bitwarden usa HackerOne) e scelte architetturali come la Secret Key di 1Password (un segreto aggiuntivo archiviato localmente che fa sì che una sola violazione del server non possa decifrare le casseforti).
Fonti
Audit Bitwarden: bitwarden.com/help/is-bitwarden-audited. Audit di sicurezza 1Password: 1password.com/security-audit. Audit Cure53 Proton Pass: proton.me/blog/pass-launch. Sicurezza NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Tutti gli URL consultati il 2026-04-30.