Jak czytać audyt bezpieczeństwa menedżera haseł: Cure53, ISE, SOC 2 — i co każdy z nich faktycznie obejmuje
Różne rodzaje audytów sprawdzają różne rzeczy. Cure53 obejmuje implementację kryptograficzną; SOC 2 obejmuje kontrole organizacyjne. Oto, co każdy z głównych menedżerów haseł faktycznie opublikował.
Trzy rodzaje audytów, które mają znaczenie
(1) Audyt kryptograficzny / penetracyjny — firma zajmująca się bezpieczeństwem (Cure53, ISE, NCC Group, Praetorian) bada implementację kryptograficzną, kontrole dostępu do serwerów oraz aplikacje klienckie i raportuje ustalenia wraz z oceną krytyczności. Audyt jest wartościowy, gdy pełny raport zostaje opublikowany wraz z nazwą audytora, datą i zakresem. (2) SOC 2 Type II — audyt kontroli organizacyjnych obejmujący bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność na poziomie operacyjnym w oknie obserwacji wynoszącym ponad 6 miesięcy. (3) ISO 27001 — certyfikacja systemu zarządzania bezpieczeństwem informacji. Type 1 ≠ Type 2, zakres liczy się bardziej niż sama odznaka.
Co opublikował każdy menedżer
Bitwarden: coroczne audyty zewnętrzne (Cure53, ISE, Insight Risk Consulting); raporty podlinkowane z bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + testy penetracyjne ISE; historia audytów na 1password.com/security-audit. Proton Pass: pełny audyt bezpieczeństwa Cure53 przy starcie (2023, brak krytycznych ustaleń, umiarkowane ustalenia usunięte przed premierą) wg proton.me/blog/pass-launch. NordPass: audyt white-box Cure53 z lutego 2020, drugi audyt Cure53 dla NordPass Business w 2021, SOC 2 Type 2, certyfikat ISO 27001 wg nordpass.com/features/security. KeePassXC: open source audytowany przez społeczność — brak zleconego audytu zewnętrznego, ale kod źródłowy jest publiczny na GitHubie.
Sygnały ostrzegawcze w marketingu audytów
(1) Audyt przeprowadzony przez firmę księgową bez podanej nazwy firmy zajmującej się bezpieczeństwem. (2) Zakres audytu ograniczony do „aplikacji” bez wskazania, których komponentów. (3) Audyt starszy niż 24 miesiące dla produktu, którego architektura uległa zmianie. (4) List podsumowujący zamiast pełnego raportu. (5) Audyt przeprowadzony przed wydaniem większej wersji, które istotnie zmieniło implementację kryptograficzną. Żaden z pięciu menedżerów w tym porównaniu nie pasuje do tych wzorców; komunikacja LastPass po wycieku danych (wykluczona z tego porównania) wykazywała natomiast kilka z nich.
Czego audyt nie obejmuje
Audyty dokumentują to, co firma zajmująca się bezpieczeństwem sprawdziła w jednym momencie w czasie. Nie obejmują ataków na łańcuch dostaw (skompromitowane zależności npm w buildzie klienta), ryzyka wewnętrznego u dostawcy ani nowych podatności odkrytych po zakończeniu okna audytu. Obroną przed tym są otwartoźródłowi klienci (aby badacze mogli niezależnie weryfikować każde wydanie — Bitwarden, Proton Pass, KeePassXC), programy bug bounty (1Password prowadzi Bugcrowd; Bitwarden prowadzi HackerOne) oraz decyzje architektoniczne, takie jak Secret Key 1Password (dodatkowy, przechowywany lokalnie sekret, który sprawia, że samo włamanie na serwer nie pozwala odszyfrować sejfów).
Źródła
Audyty Bitwarden: bitwarden.com/help/is-bitwarden-audited. Audyty bezpieczeństwa 1Password: 1password.com/security-audit. Audyt Cure53 Proton Pass: proton.me/blog/pass-launch. Bezpieczeństwo NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Wszystkie adresy URL otwarte 2026-04-30.