Slik leser du en sikkerhetsrevisjon av en passordbehandler: Cure53, ISE, SOC 2, og hva hver av dem faktisk dekker
Ulike revisjonstyper kontrollerer ulike ting. Cure53 dekker den kryptografiske implementasjonen; SOC 2 dekker organisatoriske kontroller. Her er hva hver større passordbehandler faktisk har publisert.
De tre revisjonstypene som betyr noe
(1) Kryptografisk / penetrasjonsrevisjon — et sikkerhetsfirma (Cure53, ISE, NCC Group, Praetorian) undersøker den kryptografiske implementasjonen, serverens tilgangskontroller og klientapper, og rapporterer funn med alvorlighetsgrad. Revisjonen er god når hele rapporten publiseres med revisorens navn, dato og omfang. (2) SOC 2 Type II — en revisjon av organisatoriske kontroller som dekker sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern på operasjonelt nivå over et observasjonsvindu på 6+ måneder. (3) ISO 27001 — en sertifisering av et styringssystem for informasjonssikkerhet. Type 1 ≠ Type 2, omfanget betyr mer enn merket.
Hva hver behandler har publisert
Bitwarden: årlige tredjepartsrevisjoner (Cure53, ISE, Insight Risk Consulting); rapporter lenket fra bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE-penetrasjonstester; sikkerhetsrevisjonshistorikk på 1password.com/security-audit. Proton Pass: full Cure53-sikkerhetsrevisjon ved lansering (2023, ingen kritiske funn, moderate funn utbedret før lansering) ifølge proton.me/blog/pass-launch. NordPass: Cure53 white-box-revisjon i februar 2020, en andre Cure53-revisjon av NordPass Business i 2021, SOC 2 Type 2, ISO 27001-sertifisert ifølge nordpass.com/features/security. KeePassXC: åpen kildekode revidert av fellesskapet — ingen bestilt tredjepartsrevisjon, men kildekoden er offentlig på GitHub.
Faresignaler i revisjonsmarkedsføring
(1) En revisjon utført av et regnskapsfirma uten et publisert sikkerhetsfirmanavn. (2) Et revisjonsomfang begrenset til 'applikasjonen' uten å spesifisere hvilke komponenter. (3) En revisjon eldre enn 24 måneder på et produkt hvis arkitektur har endret seg. (4) Et sammendragsbrev fremfor en full rapport. (5) En revisjon utført før en større versjonsutgivelse som vesentlig endret den kryptografiske implementasjonen. Ingen av de fem behandlerne i denne sammenligningen passer til disse mønstrene; LastPass' kommunikasjon etter bruddet (utelatt fra denne sammenligningen) viste flere av dem.
Hva en revisjon ikke dekker
Revisjoner dokumenterer hva sikkerhetsfirmaet kontrollerte på ett tidspunkt. De dekker ikke forsyningskjedeangrep (kompromitterte npm-avhengigheter i klientbygget), innsiderisiko hos leverandøren, eller nye sårbarheter oppdaget etter revisjonsvinduet. Forsvaret mot disse er åpen kildekode-klienter (slik at forskere kan verifisere hver utgivelse uavhengig — Bitwarden, Proton Pass, KeePassXC), bug bounty-programmer (1Password kjører Bugcrowd; Bitwarden kjører HackerOne), og arkitektoniske valg som 1Passwords Secret Key (en ekstra lokalt lagret hemmelighet som betyr at et serverbrudd alene ikke kan dekryptere hvelv).
Kilder
Bitwarden-revisjoner: bitwarden.com/help/is-bitwarden-audited. 1Password-sikkerhetsrevisjoner: 1password.com/security-audit. Proton Pass Cure53-revisjon: proton.me/blog/pass-launch. NordPass-sikkerhet: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Alle URL-er åpnet 2026-04-30.