Како да прочитате безбедносна ревизија на менаџер на лозинки: Cure53, ISE, SOC 2 и што всушност покрива секоја од нив
Различните видови ревизии проверуваат различни работи. Cure53 ја покрива криптографската имплементација; SOC 2 ги покрива организациските контроли. Еве што всушност објавил секој голем менаџер на лозинки.
Трите видови ревизии што се важни
(1) Криптографска / пенетрациска ревизија — безбедносна фирма (Cure53, ISE, NCC Group, Praetorian) ја испитува криптографската имплементација, контролите на пристап до серверот, клиентските апликации и известува за наодите со оценки на сериозноста. Ревизијата е добра кога целосниот извештај е објавен со името на ревизорот, датумот и опсегот. (2) SOC 2 Type II — ревизија на организациски контроли што на оперативно ниво покрива безбедност, достапност, интегритет на обработката, доверливост и приватност во период на набљудување од 6+ месеци. (3) ISO 27001 — сертификација на систем за управување со информациска безбедност. Type 1 ≠ Type 2, опсегот е поважен од значката.
Што објавил секој менаџер
Bitwarden: годишни ревизии од трети страни (Cure53, ISE, Insight Risk Consulting); извештаите се поврзани од bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + пенетрациски тестови на ISE; историја на безбедносни ревизии на 1password.com/security-audit. Proton Pass: целосна безбедносна ревизија на Cure53 при стартувањето (2023, без критични наоди, умерените наоди отстранети пред стартувањето) според proton.me/blog/pass-launch. NordPass: Cure53 white-box ревизија фев. 2020, втора Cure53 ревизија за NordPass Business 2021, SOC 2 Type 2, сертифициран според ISO 27001 според nordpass.com/features/security. KeePassXC: отворен код ревидиран од заедницата — без нарачана ревизија од трета страна, но изворниот код е јавен на GitHub.
Знаци за предупредување во маркетингот на ревизии
(1) Ревизија спроведена од сметководствена фирма без објавено име на безбедносна фирма. (2) Опсег на ревизија ограничен на „апликацијата“ без да се наведе кои компоненти. (3) Ревизија постара од 24 месеци на производ чија архитектура се променила. (4) Резимирано писмо наместо целосен извештај. (5) Ревизија спроведена пред издавање на голема верзија што материјално ја променила криптографската имплементација. Ниту еден од петте менаџери во оваа споредба не одговара на овие обрасци; комуникациите на LastPass по пробивот (исклучени од оваа споредба) покажаа неколку од нив.
Што не покрива една ревизија
Ревизиите документираат што проверила безбедносната фирма во еден момент во времето. Тие не покриваат напади на синџирот на снабдување (компромитирани npm зависности во билдот на клиентот), внатрешен ризик кај снабдувачот или нови ранливости откриени по прозорецот на ревизијата. Одбраните против тоа се клиенти со отворен код (за да можат истражувачите независно да го верификуваат секое издание — Bitwarden, Proton Pass, KeePassXC), програми за лов на грешки (1Password води Bugcrowd; Bitwarden води HackerOne) и архитектонски избори како 1Password Secret Key (дополнителна, локално складирана тајна што значи дека самиот пробив на серверот не може да ги дешифрира сефовите).
Извори
Ревизии на Bitwarden: bitwarden.com/help/is-bitwarden-audited. Безбедносни ревизии на 1Password: 1password.com/security-audit. Cure53 ревизија на Proton Pass: proton.me/blog/pass-launch. Безбедност на NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Сите URL-адреси пристапени на 2026-04-30.