Как читать аудит безопасности менеджера паролей: Cure53, ISE, SOC 2 и что на самом деле проверяет каждый
Разные типы аудита проверяют разные вещи. Cure53 охватывает криптографическую реализацию; SOC 2 — организационные средства контроля. Вот что каждый крупный менеджер паролей действительно опубликовал.
Три типа аудита, которые имеют значение
(1) Криптографический / пентест-аудит — охранная фирма (Cure53, ISE, NCC Group, Praetorian) исследует криптографическую реализацию, средства контроля доступа на сервере, клиентские приложения и сообщает о найденном с оценками серьёзности. Аудит хорош, когда полный отчёт публикуется с указанием имени аудитора, даты и охвата. (2) SOC 2 Type II — аудит организационных средств контроля, охватывающий безопасность, доступность, целостность обработки, конфиденциальность и приватность на операционном уровне в течение окна наблюдения 6+ месяцев. (3) ISO 27001 — сертификация системы управления информационной безопасностью. Type 1 ≠ Type 2, охват важнее значка.
Что опубликовал каждый менеджер
Bitwarden: ежегодные сторонние аудиты (Cure53, ISE, Insight Risk Consulting); отчёты со ссылками на bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + пентесты ISE; история аудитов безопасности на 1password.com/security-audit. Proton Pass: полный аудит безопасности Cure53 на старте (2023, без критических находок, умеренные находки устранены до запуска) по данным proton.me/blog/pass-launch. NordPass: white-box аудит Cure53 в феврале 2020, второй аудит Cure53 для NordPass Business в 2021, SOC 2 Type 2, сертификация ISO 27001 по данным nordpass.com/features/security. KeePassXC: открытый исходный код с аудитом сообщества — без заказанного стороннего аудита, но исходный код публично доступен на GitHub.
Тревожные сигналы в маркетинге аудитов
(1) Аудит, выполненный бухгалтерской фирмой без указанного имени охранной фирмы. (2) Охват аудита, ограниченный «приложением» без указания, какие именно компоненты. (3) Аудит старше 24 месяцев на продукте, чья архитектура изменилась. (4) Сводное письмо вместо полного отчёта. (5) Аудит, проведённый до крупного релиза, существенно изменившего криптографическую реализацию. Ни один из пяти менеджеров в этом сравнении не подпадает под эти шаблоны; коммуникации LastPass после взлома (исключённого из этого сравнения) действительно демонстрировали несколько из них.
Что аудит не охватывает
Аудиты документируют то, что охранная фирма проверила в один момент времени. Они не охватывают атаки на цепочку поставок (скомпрометированные npm-зависимости в сборке клиента), внутренний риск со стороны поставщика или новые уязвимости, обнаруженные после окна аудита. Защита от этого — клиенты с открытым исходным кодом (чтобы исследователи могли независимо проверить каждый релиз — Bitwarden, Proton Pass, KeePassXC), программы bug-bounty (1Password ведёт Bugcrowd; Bitwarden ведёт HackerOne) и архитектурные решения вроде 1Password Secret Key (дополнительный локально хранимый секрет, означающий, что взлом сервера сам по себе не позволяет расшифровать хранилища).
Источники
Аудиты Bitwarden: bitwarden.com/help/is-bitwarden-audited. Аудиты безопасности 1Password: 1password.com/security-audit. Аудит Cure53 для Proton Pass: proton.me/blog/pass-launch. Безопасность NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Все URL открыты 2026-04-30.