Como ler uma auditoria de segurança de gerenciador de senhas: Cure53, ISE, SOC 2 e o que cada uma realmente cobre
Tipos diferentes de auditoria verificam coisas diferentes. A Cure53 cobre a implementação criptográfica; a SOC 2 cobre os controles organizacionais. Aqui está o que cada grande gerenciador de senhas realmente publicou.
Os três tipos de auditoria que importam
(1) Auditoria criptográfica / de penetração — uma empresa de segurança (Cure53, ISE, NCC Group, Praetorian) examina a implementação criptográfica, os controles de acesso ao servidor e os aplicativos cliente, e relata as descobertas com classificações de gravidade. A auditoria é boa quando o relatório completo é publicado com o nome do auditor, a data e o escopo. (2) SOC 2 Type II — uma auditoria de controles organizacionais que cobre segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade no nível operacional ao longo de uma janela de observação de mais de 6 meses. (3) ISO 27001 — uma certificação de um sistema de gestão de segurança da informação. Type 1 ≠ Type 2; o escopo importa mais do que o selo.
O que cada gerenciador publicou
Bitwarden: auditorias anuais de terceiros (Cure53, ISE, Insight Risk Consulting); relatórios vinculados em bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + testes de penetração da ISE; histórico de auditorias de segurança em 1password.com/security-audit. Proton Pass: auditoria de segurança completa da Cure53 no lançamento (2023, sem descobertas críticas, descobertas moderadas corrigidas antes do lançamento) segundo proton.me/blog/pass-launch. NordPass: auditoria white-box da Cure53 em fev. de 2020, segunda auditoria da Cure53 no NordPass Business em 2021, SOC 2 Type 2, certificado ISO 27001 segundo nordpass.com/features/security. KeePassXC: código aberto auditado pela comunidade — nenhuma auditoria de terceiros contratada, mas o código-fonte é público no GitHub.
Sinais de alerta no marketing de auditorias
(1) Uma auditoria realizada por uma empresa de contabilidade sem o nome publicado de uma empresa de segurança. (2) Um escopo de auditoria limitado a "o aplicativo" sem especificar quais componentes. (3) Uma auditoria com mais de 24 meses em um produto cuja arquitetura mudou. (4) Uma carta-resumo em vez de um relatório completo. (5) Uma auditoria realizada antes do lançamento de uma versão importante que alterou materialmente a implementação criptográfica. Nenhum dos cinco gerenciadores desta comparação se encaixa nesses padrões; já a comunicação do LastPass após o vazamento (excluído desta comparação) exibiu vários deles.
O que uma auditoria não cobre
As auditorias documentam o que a empresa de segurança verificou em um único momento. Elas não cobrem ataques à cadeia de suprimentos (dependências npm comprometidas no build do cliente), risco interno no fornecedor nem novas vulnerabilidades descobertas após a janela da auditoria. As defesas contra isso são clientes de código aberto (para que pesquisadores possam verificar cada versão de forma independente — Bitwarden, Proton Pass, KeePassXC), programas de recompensa por bugs (o 1Password mantém o Bugcrowd; o Bitwarden mantém o HackerOne) e escolhas arquiteturais como a Secret Key do 1Password (um segredo adicional armazenado localmente que faz com que apenas um vazamento de servidor não consiga descriptografar os cofres).
Fontes
Auditorias do Bitwarden: bitwarden.com/help/is-bitwarden-audited. Auditorias de segurança do 1Password: 1password.com/security-audit. Auditoria Cure53 do Proton Pass: proton.me/blog/pass-launch. Segurança do NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Todas as URLs acessadas em 2026-04-30.