Kaip skaityti slaptažodžių tvarkyklės saugumo auditą: Cure53, ISE, SOC 2 ir ką kiekvienas iš jų iš tikrųjų apima
Skirtingi auditų tipai tikrina skirtingus dalykus. Cure53 apima kriptografinį įgyvendinimą; SOC 2 apima organizacines kontroles. Štai ką kiekviena pagrindinė slaptažodžių tvarkyklė iš tikrųjų paskelbė.
Trys svarbūs auditų tipai
(1) Kriptografinis / įsiskverbimo auditas — saugumo įmonė (Cure53, ISE, NCC Group, Praetorian) tiria kriptografinį įgyvendinimą, serverio prieigos kontroles, kliento programėles ir praneša radinius su pavojingumo įvertinimais. Auditas yra geras, kai paskelbiama pilna ataskaita su auditoriaus pavadinimu, data ir apimtimi. (2) SOC 2 Type II — organizacinių kontrolių auditas, apimantis saugumą, prieinamumą, apdorojimo vientisumą, konfidencialumą ir privatumą operaciniu lygmeniu per 6+ mėnesių stebėjimo langą. (3) ISO 27001 — informacijos saugumo valdymo sistemos sertifikatas. Type 1 ≠ Type 2, apimtis svarbiau už ženkliuką.
Ką kiekviena tvarkyklė paskelbė
Bitwarden: kasmetiniai trečiųjų šalių auditai (Cure53, ISE, Insight Risk Consulting); ataskaitos pateiktos per nuorodas iš bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE įsiskverbimo testai; saugumo auditų istorija adresu 1password.com/security-audit. Proton Pass: pilnas Cure53 saugumo auditas paleidimo metu (2023 m., jokių kritinių radinių, vidutiniai radiniai ištaisyti iki paleidimo) pagal proton.me/blog/pass-launch. NordPass: Cure53 baltos dėžės (white-box) auditas 2020 m. vasario mėn., antras Cure53 auditas NordPass Business 2021 m., SOC 2 Type 2, sertifikuota pagal ISO 27001 pagal nordpass.com/features/security. KeePassXC: bendruomenės audituotas atviras kodas — jokio užsakyto trečiosios šalies audito, bet pirminis kodas viešas GitHub.
Įspėjamieji ženklai audito rinkodaroje
(1) Auditas, atliktas apskaitos įmonės, nenurodant saugumo įmonės pavadinimo. (2) Audito apimtis, apribota „programa“, nenurodant, kurie komponentai. (3) Auditas, senesnis nei 24 mėnesiai, produktui, kurio architektūra pasikeitė. (4) Apibendrinamasis laiškas, o ne pilna ataskaita. (5) Auditas, atliktas prieš didelį versijos išleidimą, kuris iš esmės pakeitė kriptografinį įgyvendinimą. Nė viena iš penkių šiame palyginime esančių tvarkyklių neatitinka šių šablonų; LastPass pranešimai po duomenų pažeidimo (neįtraukti į šį palyginimą) vis dėlto pasižymėjo keliais iš jų.
Ko auditas neapima
Auditai dokumentuoja tai, ką saugumo įmonė patikrino vienu laiko momentu. Jie neapima tiekimo grandinės atakų (pažeistos npm priklausomybės kliento kūrime), vidinio rizikos veiksnio (insider risk) pas tiekėją ar naujų pažeidžiamumų, atrastų po audito lango. Apsaugos nuo to yra atviro kodo klientai (kad tyrėjai galėtų nepriklausomai patikrinti kiekvieną leidimą — Bitwarden, Proton Pass, KeePassXC), klaidų premijų (bug-bounty) programos (1Password naudoja Bugcrowd; Bitwarden naudoja HackerOne) ir architektūriniai sprendimai, tokie kaip 1Password Secret Key (papildoma vietoje saugoma paslaptis, dėl kurios vien serverio pažeidimas negali iššifruoti saugyklų).
Šaltiniai
Bitwarden auditai: bitwarden.com/help/is-bitwarden-audited. 1Password saugumo auditai: 1password.com/security-audit. Proton Pass Cure53 auditas: proton.me/blog/pass-launch. NordPass saugumas: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Visi URL pasiekti 2026-04-30.