Ako čítať bezpečnostný audit správcu hesiel: Cure53, ISE, SOC 2 — a čo každý z nich vlastne pokrýva
Rôzne typy auditov kontrolujú rôzne veci. Cure53 pokrýva kryptografickú implementáciu; SOC 2 pokrýva organizačné kontroly. Tu je, čo každý veľký správca hesiel skutočne zverejnil.
Tri typy auditov, na ktorých záleží
(1) Kryptografický / penetračný audit — bezpečnostná firma (Cure53, ISE, NCC Group, Praetorian) preskúma kryptografickú implementáciu, kontroly prístupu k serveru a klientske aplikácie a hlási nálezy s hodnotením závažnosti. Audit je hodnotný, keď je zverejnená celá správa s menom audítora, dátumom a rozsahom. (2) SOC 2 Type II — audit organizačných kontrol pokrývajúci bezpečnosť, dostupnosť, integritu spracovania, dôvernosť a súkromie na prevádzkovej úrovni v pozorovacom okne dlhšom než 6 mesiacov. (3) ISO 27001 — certifikácia systému riadenia bezpečnosti informácií. Type 1 ≠ Type 2, na rozsahu záleží viac než na odznaku.
Čo každý správca zverejnil
Bitwarden: každoročné audity tretích strán (Cure53, ISE, Insight Risk Consulting); správy odkazované z bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + penetračné testy ISE; história auditov na 1password.com/security-audit. Proton Pass: kompletný bezpečnostný audit Cure53 pri spustení (2023, žiadne kritické nálezy, mierne nálezy odstránené pred spustením) podľa proton.me/blog/pass-launch. NordPass: white-box audit Cure53 február 2020, druhý audit Cure53 pre NordPass Business 2021, SOC 2 Type 2, certifikácia ISO 27001 podľa nordpass.com/features/security. KeePassXC: open source auditovaný komunitou — žiadny zadaný audit tretej strany, ale zdrojový kód je verejný na GitHube.
Varovné signály v marketingu auditov
(1) Audit vykonaný účtovnou firmou bez zverejneného mena bezpečnostnej firmy. (2) Rozsah auditu obmedzený na „aplikáciu“ bez upresnenia, ktoré komponenty. (3) Audit starší než 24 mesiacov pri produkte, ktorého architektúra sa zmenila. (4) Súhrnný list namiesto celej správy. (5) Audit vykonaný pred vydaním veľkej verzie, ktorá podstatne zmenila kryptografickú implementáciu. Žiadny z piatich správcov v tomto porovnaní týmto vzorcom nezodpovedá; komunikácia LastPass po úniku dát (z tohto porovnania vylúčená) ich naopak vykazovala hneď niekoľko.
Čo audit nepokrýva
Audity dokumentujú, čo bezpečnostná firma skontrolovala v jednom okamihu. Nepokrývajú útoky na dodávateľský reťazec (kompromitované npm závislosti v zostavení klienta), interné riziko u poskytovateľa ani nové zraniteľnosti objavené po skončení auditného okna. Obranou proti tomu sú open-source klienti (aby výskumníci mohli každé vydanie nezávisle overiť — Bitwarden, Proton Pass, KeePassXC), programy bug bounty (1Password prevádzkuje Bugcrowd; Bitwarden prevádzkuje HackerOne) a architektonické rozhodnutia ako 1Password Secret Key (dodatočné, lokálne uložené tajomstvo, vďaka ktorému samotné narušenie servera nedokáže trezory dešifrovať).
Zdroje
Audity Bitwarden: bitwarden.com/help/is-bitwarden-audited. Bezpečnostné audity 1Password: 1password.com/security-audit. Audit Cure53 Proton Pass: proton.me/blog/pass-launch. Bezpečnosť NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Všetky URL navštívené 2026-04-30.