Kā lasīt paroļu pārvaldnieka drošības auditu: Cure53, ISE, SOC 2 un ko katrs no tiem patiesībā aptver
Dažādi auditu veidi pārbauda dažādas lietas. Cure53 aptver kriptogrāfisko īstenojumu; SOC 2 aptver organizatoriskās kontroles. Lūk, ko katrs galvenais paroļu pārvaldnieks patiesībā ir publicējis.
Trīs svarīgie auditu veidi
(1) Kriptogrāfiskais / iespiešanās audits — drošības uzņēmums (Cure53, ISE, NCC Group, Praetorian) pārbauda kriptogrāfisko īstenojumu, servera piekļuves kontroles, klienta lietotnes un ziņo par atradumiem ar smaguma pakāpes vērtējumiem. Audits ir labs, kad tiek publicēts pilns ziņojums ar auditora nosaukumu, datumu un tvērumu. (2) SOC 2 Type II — organizatorisko kontroļu audits, kas aptver drošību, pieejamību, apstrādes integritāti, konfidencialitāti un privātumu operatīvajā līmenī 6+ mēnešu novērošanas logā. (3) ISO 27001 — informācijas drošības pārvaldības sistēmas sertifikācija. Type 1 ≠ Type 2, tvērums ir svarīgāks par nozīmīti.
Ko katrs pārvaldnieks ir publicējis
Bitwarden: ikgadēji trešo pušu auditi (Cure53, ISE, Insight Risk Consulting); ziņojumi saistīti no bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE iespiešanās testi; drošības auditu vēsture vietnē 1password.com/security-audit. Proton Pass: pilns Cure53 drošības audits palaišanas brīdī (2023. gadā, bez kritiskiem atradumiem, mēreni atradumi novērsti pirms palaišanas) saskaņā ar proton.me/blog/pass-launch. NordPass: Cure53 baltās kastes (white-box) audits 2020. gada februārī, otrs Cure53 audits NordPass Business 2021. gadā, SOC 2 Type 2, sertificēts pēc ISO 27001 saskaņā ar nordpass.com/features/security. KeePassXC: kopienas auditēts atvērtais kods — nav pasūtīta trešās puses audita, bet pirmkods ir publisks GitHub.
Brīdinājuma zīmes audita mārketingā
(1) Audits, ko veicis grāmatvedības uzņēmums, nenorādot drošības uzņēmuma nosaukumu. (2) Audita tvērums, kas ierobežots ar „lietotni“, nenorādot, kuri komponenti. (3) Audits, kas vecāks par 24 mēnešiem, produktam, kura arhitektūra ir mainījusies. (4) Kopsavilkuma vēstule, nevis pilns ziņojums. (5) Audits, kas veikts pirms lielas versijas izlaišanas, kura būtiski mainīja kriptogrāfisko īstenojumu. Neviens no pieciem pārvaldniekiem šajā salīdzinājumā neatbilst šiem modeļiem; LastPass paziņojumi pēc datu pārkāpuma (izslēgti no šī salīdzinājuma) tomēr uzrādīja vairākus no tiem.
Ko audits neaptver
Auditi dokumentē to, ko drošības uzņēmums pārbaudīja vienā laika brīdī. Tie neaptver piegādes ķēdes uzbrukumus (apdraudētas npm atkarības klienta būvējumā), iekšēju risku (insider risk) pie pakalpojuma sniedzēja vai jaunas ievainojamības, kas atklātas pēc audita loga. Aizsardzība pret tām ir atvērtā koda klienti (lai pētnieki varētu neatkarīgi pārbaudīt katru laidienu — Bitwarden, Proton Pass, KeePassXC), kļūdu prēmiju (bug-bounty) programmas (1Password izmanto Bugcrowd; Bitwarden izmanto HackerOne) un arhitektūras izvēles, piemēram, 1Password Secret Key (papildu lokāli glabāts noslēpums, kura dēļ vien servera pārkāpums nevar atšifrēt glabātavas).
Avoti
Bitwarden auditi: bitwarden.com/help/is-bitwarden-audited. 1Password drošības auditi: 1password.com/security-audit. Proton Pass Cure53 audits: proton.me/blog/pass-launch. NordPass drošība: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Visi URL piekļūti 2026-04-30.