Si të lexoni një auditim sigurie të një menaxheri fjalëkalimesh: Cure53, ISE, SOC 2 — dhe çfarë mbulon në fakt secili
Tipet e ndryshme të auditimit kontrollojnë gjëra të ndryshme. Cure53 mbulon zbatimin kriptografik; SOC 2 mbulon kontrollet organizative. Ja çfarë ka publikuar në fakt secili menaxher kryesor fjalëkalimesh.
Tre tipet e auditimit që kanë rëndësi
(1) Auditim kriptografik / i depërtimit — një firmë sigurie (Cure53, ISE, NCC Group, Praetorian) shqyrton zbatimin kriptografik, kontrollet e aksesit në server dhe aplikacionet klient, dhe raporton gjetjet me vlerësime sipas ashpërsisë. Auditimi është i vlefshëm kur raporti i plotë publikohet me emrin e audituesit, datën dhe fushëveprimin. (2) SOC 2 Type II — një auditim i kontrolleve organizative mbi sigurinë, disponueshmërinë, integritetin e përpunimit, konfidencialitetin dhe privatësinë në nivel operacional gjatë një dritareje vëzhgimi prej 6+ muajsh. (3) ISO 27001 — një certifikim i një sistemi menaxhimi të sigurisë së informacionit. Type 1 ≠ Type 2, fushëveprimi ka më shumë rëndësi se vula.
Çfarë ka publikuar secili menaxher
Bitwarden: auditime vjetore nga palë të treta (Cure53, ISE, Insight Risk Consulting); raportet të lidhura nga bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + teste depërtimi ISE; historiku i auditimeve te 1password.com/security-audit. Proton Pass: auditim i plotë sigurie nga Cure53 në nisje (2023, asnjë gjetje kritike, gjetjet e moderuara u zgjidhën para nisjes) sipas proton.me/blog/pass-launch. NordPass: auditim white-box nga Cure53 në shkurt 2020, auditim i dytë nga Cure53 për NordPass Business 2021, SOC 2 Type 2, i certifikuar ISO 27001 sipas nordpass.com/features/security. KeePassXC: kod i hapur i audituar nga komuniteti — pa auditim të porositur nga palë të treta, por kodi burimor është publik në GitHub.
Sinjalet paralajmëruese në marketingun e auditimeve
(1) Një auditim i kryer nga një firmë kontabiliteti pa emrin e publikuar të një firme sigurie. (2) Një fushëveprim auditimi i kufizuar te 'aplikacioni' pa specifikuar se cilët komponentë. (3) Një auditim më i vjetër se 24 muaj për një produkt arkitektura e të cilit ka ndryshuar. (4) Një letër përmbledhëse në vend të një raporti të plotë. (5) Një auditim i kryer para një lëshimi madhor versioni që ndryshoi materialisht zbatimin kriptografik. Asnjë nga pesë menaxherët në këtë krahasim nuk përshtatet me këto modele; ndërsa komunikimet e LastPass pas cenimit (të përjashtuar nga ky krahasim) shfaqën disa prej tyre.
Çfarë nuk mbulon një auditim
Auditimet dokumentojnë atë që firma e sigurisë kontrolloi në një moment të caktuar kohor. Ato nuk mbulojnë sulmet ndaj zinxhirit të furnizimit (varësi npm të cenuara në ndërtimin e klientit), rrezikun e brendshëm te shitësi, ose dobësi të reja të zbuluara pas dritares së auditimit. Mbrojtjet kundër këtyre janë klientët me kod të hapur (që studiuesit të verifikojnë çdo lëshim në mënyrë të pavarur — Bitwarden, Proton Pass, KeePassXC), programet bug-bounty (1Password operon Bugcrowd; Bitwarden operon HackerOne), dhe zgjedhje arkitekturore si 1Password Secret Key (një sekret shtesë i ruajtur lokalisht që bën që një cenim i serverit i vetëm të mos mund t'i dekriptojë kasafortat).
Burimet
Auditimet e Bitwarden: bitwarden.com/help/is-bitwarden-audited. Auditimet e sigurisë së 1Password: 1password.com/security-audit. Auditimi i Proton Pass nga Cure53: proton.me/blog/pass-launch. Siguria e NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Të gjitha URL-të u aksesuan më 2026-04-30.