Cum să citești un audit de securitate al unui manager de parole: Cure53, ISE, SOC 2 — și ce acoperă de fapt fiecare
Diferite tipuri de audit verifică lucruri diferite. Cure53 acoperă implementarea criptografică; SOC 2 acoperă controalele organizaționale. Iată ce a publicat de fapt fiecare manager de parole important.
Cele trei tipuri de audit care contează
(1) Audit criptografic / de penetrare — o firmă de securitate (Cure53, ISE, NCC Group, Praetorian) examinează implementarea criptografică, controalele de acces la server și aplicațiile client și raportează constatările cu evaluări de gravitate. Auditul este valoros atunci când raportul complet este publicat cu numele auditorului, data și domeniul de aplicare. (2) SOC 2 Type II — un audit al controalelor organizaționale privind securitatea, disponibilitatea, integritatea procesării, confidențialitatea și protecția datelor la nivel operațional, pe o fereastră de observare de 6+ luni. (3) ISO 27001 — o certificare a unui sistem de management al securității informației. Type 1 ≠ Type 2, domeniul de aplicare contează mai mult decât sigiliul.
Ce a publicat fiecare manager
Bitwarden: audituri anuale efectuate de terți (Cure53, ISE, Insight Risk Consulting); rapoarte legate de pe bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + teste de penetrare ISE; istoricul auditurilor la 1password.com/security-audit. Proton Pass: audit de securitate Cure53 complet la lansare (2023, fără constatări critice, constatări moderate remediate înainte de lansare) conform proton.me/blog/pass-launch. NordPass: audit white-box Cure53 în feb. 2020, al doilea audit Cure53 pentru NordPass Business în 2021, SOC 2 Type 2, certificat ISO 27001 conform nordpass.com/features/security. KeePassXC: open source auditat de comunitate — fără un audit comandat de terți, dar codul sursă este public pe GitHub.
Semnale de alarmă în marketingul auditurilor
(1) Un audit efectuat de o firmă de contabilitate fără numele unei firme de securitate publicat. (2) Un domeniu de audit limitat la „aplicație” fără a specifica ce componente. (3) Un audit mai vechi de 24 de luni pe un produs a cărui arhitectură s-a schimbat. (4) O scrisoare de sinteză în loc de un raport complet. (5) Un audit efectuat înaintea unei lansări majore de versiune care a modificat semnificativ implementarea criptografică. Niciunul dintre cei cinci manageri din această comparație nu se potrivește acestor tipare; în schimb, comunicările LastPass de după breșă (excluse din această comparație) au prezentat câteva dintre ele.
Ce nu acoperă un audit
Auditurile documentează ce a verificat firma de securitate la un anumit moment în timp. Ele nu acoperă atacurile asupra lanțului de aprovizionare (dependențe npm compromise în build-ul clientului), riscul insiderilor la furnizor sau noile vulnerabilități descoperite după fereastra de audit. Apărările împotriva acestora sunt clienții open-source (astfel încât cercetătorii pot verifica fiecare lansare în mod independent — Bitwarden, Proton Pass, KeePassXC), programele bug-bounty (1Password rulează Bugcrowd; Bitwarden rulează HackerOne) și alegeri arhitecturale precum 1Password Secret Key (un secret suplimentar stocat local, care înseamnă că o breșă de server singură nu poate decripta seifurile).
Surse
Audituri Bitwarden: bitwarden.com/help/is-bitwarden-audited. Audituri de securitate 1Password: 1password.com/security-audit. Audit Cure53 Proton Pass: proton.me/blog/pass-launch. Securitate NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Toate URL-urile accesate pe 2026-04-30.