Kako čitati bezbednosnu reviziju menadžera lozinki: Cure53, ISE, SOC 2 i šta svaka zapravo obuhvata
Različite vrste revizija proveravaju različite stvari. Cure53 obuhvata kriptografsku implementaciju; SOC 2 obuhvata organizacione kontrole. Evo šta je svaki veliki menadžer lozinki zapravo objavio.
Tri vrste revizija koje su važne
(1) Kriptografska / penetraciona revizija — bezbednosna firma (Cure53, ISE, NCC Group, Praetorian) ispituje kriptografsku implementaciju, kontrole pristupa serveru i klijentske aplikacije i izveštava o nalazima sa ocenama ozbiljnosti. Revizija je dobra kada se objavi ceo izveštaj sa imenom revizora, datumom i obimom. (2) SOC 2 Type II — revizija organizacionih kontrola koja obuhvata bezbednost, dostupnost, integritet obrade, poverljivost i privatnost na operativnom nivou tokom perioda posmatranja od 6+ meseci. (3) ISO 27001 — sertifikacija sistema upravljanja bezbednošću informacija. Type 1 ≠ Type 2, obim je važniji od oznake.
Šta je svaki menadžer objavio
Bitwarden: godišnje revizije nezavisnih trećih strana (Cure53, ISE, Insight Risk Consulting); izveštaji povezani na bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE penetracioni testovi; istorija bezbednosnih revizija na 1password.com/security-audit. Proton Pass: kompletna Cure53 bezbednosna revizija pri lansiranju (2023., bez kritičnih nalaza, umereni nalazi otklonjeni pre lansiranja) prema proton.me/blog/pass-launch. NordPass: Cure53 white-box revizija u februaru 2020., druga Cure53 revizija za NordPass Business 2021., SOC 2 Type 2, ISO 27001 sertifikovan prema nordpass.com/features/security. KeePassXC: otvoreni kôd revidiran od strane zajednice — nema naručene revizije treće strane, ali je izvorni kôd javan na GitHubu.
Crvene zastavice u marketingu revizija
(1) Revizija koju je sprovela računovodstvena firma bez objavljenog imena bezbednosne firme. (2) Obim revizije ograničen na „aplikaciju” bez navođenja kojih komponenti. (3) Revizija starija od 24 meseca na proizvodu čija se arhitektura promenila. (4) Sažeto pismo umesto kompletnog izveštaja. (5) Revizija sprovedena pre velikog izdanja verzije koje je bitno promenilo kriptografsku implementaciju. Nijedan od pet menadžera u ovom poređenju ne odgovara tim obrascima; komunikacija LastPassa nakon proboja (isključena iz ovog poređenja) zaista je pokazivala nekoliko njih.
Šta revizija ne obuhvata
Revizije dokumentuju ono što je bezbednosna firma proverila u jednom trenutku u vremenu. Ne obuhvataju napade na lanac snabdevanja (kompromitovane npm zavisnosti u izgradnji klijenta), insajderski rizik kod dobavljača ni nove ranjivosti otkrivene nakon perioda revizije. Odbrana od toga jesu klijenti otvorenog kôda (kako bi istraživači mogli nezavisno da provere svako izdanje — Bitwarden, Proton Pass, KeePassXC), programi nagrada za otkrivanje grešaka (1Password vodi Bugcrowd; Bitwarden vodi HackerOne) i arhitektonske odluke poput 1Password Secret Keya (dodatne, lokalno sačuvane tajne koja znači da proboj servera sam po sebi ne može dešifrovati trezore).
Izvori
Bitwarden revizije: bitwarden.com/help/is-bitwarden-audited. 1Password bezbednosne revizije: 1password.com/security-audit. Proton Pass Cure53 revizija: proton.me/blog/pass-launch. NordPass bezbednost: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Svi URL-ovi pristupljeni 2026-04-30.