Kako brati varnostno revizijo upravitelja gesel: Cure53, ISE, SOC 2 in kaj vsaka dejansko pokriva
Različne vrste revizij preverjajo različne stvari. Cure53 pokriva kriptografsko izvedbo; SOC 2 pokriva organizacijske kontrole. Tukaj je, kaj je vsak večji upravitelj gesel dejansko objavil.
Tri vrste revizij, ki štejejo
(1) Kriptografska / penetracijska revizija — varnostno podjetje (Cure53, ISE, NCC Group, Praetorian) pregleda kriptografsko izvedbo, kontrole dostopa do strežnika, odjemalske aplikacije in poroča o ugotovitvah z ocenami resnosti. Revizija je dobra, kadar je celotno poročilo objavljeno z imenom revizorja, datumom in obsegom. (2) SOC 2 Type II — revizija organizacijskih kontrol, ki na operativni ravni pokriva varnost, razpoložljivost, integriteto obdelave, zaupnost in zasebnost v opazovalnem obdobju 6+ mesecev. (3) ISO 27001 — certifikat sistema upravljanja informacijske varnosti. Type 1 ≠ Type 2, obseg šteje bolj kot oznaka.
Kaj je vsak upravitelj objavil
Bitwarden: letne revizije tretjih oseb (Cure53, ISE, Insight Risk Consulting); poročila so povezana z bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + penetracijski testi ISE; zgodovina varnostnih revizij na 1password.com/security-audit. Proton Pass: celovita varnostna revizija Cure53 ob zagonu (2023, brez kritičnih ugotovitev, zmerne ugotovitve odpravljene pred zagonom) po proton.me/blog/pass-launch. NordPass: revizija Cure53 white-box feb. 2020, druga revizija Cure53 za NordPass Business 2021, SOC 2 Type 2, certificiran po ISO 27001 po nordpass.com/features/security. KeePassXC: odprta koda, revidirana s strani skupnosti — brez naročene revizije tretjih oseb, a je izvorna koda javna na GitHubu.
Opozorilni znaki v marketingu revizij
(1) Revizija, ki jo izvede računovodsko podjetje brez objavljenega imena varnostnega podjetja. (2) Obseg revizije, omejen na „aplikacijo“, brez navedbe, katere komponente. (3) Revizija, starejša od 24 mesecev, na izdelku, katerega arhitektura se je spremenila. (4) Povzetkovno pismo namesto celotnega poročila. (5) Revizija, izvedena pred izdajo večje različice, ki je bistveno spremenila kriptografsko izvedbo. Nobeden od petih upraviteljev v tej primerjavi ne ustreza tem vzorcem; sporočila LastPassa po vdoru (izključena iz te primerjave) so jih kazala več.
Česa revizija ne pokriva
Revizije dokumentirajo, kaj je varnostno podjetje preverilo v enem trenutku. Ne pokrivajo napadov na dobavno verigo (kompromitirane odvisnosti npm v gradnji odjemalca), tveganja notranjega akterja pri ponudniku ali novih ranljivosti, odkritih po obdobju revizije. Obramba pred tem so odprtokodni odjemalci (da lahko raziskovalci vsako izdajo neodvisno preverijo — Bitwarden, Proton Pass, KeePassXC), programi za lov na napake (1Password vodi Bugcrowd; Bitwarden vodi HackerOne) in arhitekturne odločitve, kot je 1Password Secret Key (dodatna, lokalno shranjena skrivnost, ki pomeni, da sam vdor v strežnik ne more dešifrirati trezorjev).
Viri
Revizije Bitwardna: bitwarden.com/help/is-bitwarden-audited. Varnostne revizije 1Password: 1password.com/security-audit. Revizija Cure53 za Proton Pass: proton.me/blog/pass-launch. Varnost NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Vsi URL-ji dostopani 2026-04-30.