Hur man läser en säkerhetsgranskning av en lösenordshanterare: Cure53, ISE, SOC 2 — och vad var och en faktiskt täcker
Olika granskningstyper kontrollerar olika saker. Cure53 täcker den kryptografiska implementeringen; SOC 2 täcker organisatoriska kontroller. Här är vad varje stor lösenordshanterare faktiskt har publicerat.
De tre granskningstyper som spelar roll
(1) Kryptografi- / penetrationsgranskning — ett säkerhetsföretag (Cure53, ISE, NCC Group, Praetorian) undersöker den kryptografiska implementeringen, serverns åtkomstkontroller och klientapparna och rapporterar fynd med allvarlighetsgradering. Granskningen är bra när den fullständiga rapporten publiceras med granskarens namn, datum och omfattning. (2) SOC 2 Type II — en granskning av organisatoriska kontroller som täcker säkerhet, tillgänglighet, behandlingsintegritet, sekretess och integritet på operativ nivå över ett observationsfönster på 6+ månader. (3) ISO 27001 — en certifiering av ett ledningssystem för informationssäkerhet. Type 1 ≠ Type 2, omfattningen betyder mer än märket.
Vad varje hanterare har publicerat
Bitwarden: årliga tredjepartsgranskningar (Cure53, ISE, Insight Risk Consulting); rapporter länkade från bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE-penetrationstester; granskningshistorik på 1password.com/security-audit. Proton Pass: fullständig Cure53-säkerhetsgranskning vid lanseringen (2023, inga kritiska fynd, måttliga fynd åtgärdade före lansering) enligt proton.me/blog/pass-launch. NordPass: Cure53 white-box-granskning feb. 2020, andra Cure53-granskningen av NordPass Business 2021, SOC 2 Type 2, ISO 27001-certifierad enligt nordpass.com/features/security. KeePassXC: communitygranskad öppen källkod — ingen beställd tredjepartsgranskning, men källkoden är offentlig på GitHub.
Varningssignaler i granskningsmarknadsföring
(1) En granskning utförd av en revisionsbyrå utan ett publicerat namn på ett säkerhetsföretag. (2) En granskningsomfattning begränsad till ”applikationen” utan att ange vilka komponenter. (3) En granskning äldre än 24 månader på en produkt vars arkitektur har förändrats. (4) Ett sammanfattande brev snarare än en fullständig rapport. (5) En granskning utförd före en större versionssläpp som väsentligt förändrade den kryptografiska implementeringen. Ingen av de fem hanterarna i denna jämförelse passar dessa mönster; LastPass kommunikation efter dataintrånget (utesluten från denna jämförelse) uppvisade däremot flera av dem.
Vad en granskning inte täcker
Granskningar dokumenterar vad säkerhetsföretaget kontrollerade vid en viss tidpunkt. De täcker inte leveranskedjeattacker (komprometterade npm-beroenden i klientbygget), insiderrisk hos leverantören eller nya sårbarheter som upptäcks efter granskningsfönstret. Försvaren mot dessa är klienter med öppen källkod (så att forskare kan verifiera varje släpp oberoende — Bitwarden, Proton Pass, KeePassXC), bug bounty-program (1Password kör Bugcrowd; Bitwarden kör HackerOne) och arkitektoniska val som 1Password Secret Key (en ytterligare, lokalt lagrad hemlighet som gör att ett serverintrång ensamt inte kan dekryptera valven).
Källor
Bitwarden-granskningar: bitwarden.com/help/is-bitwarden-audited. 1Password-säkerhetsgranskningar: 1password.com/security-audit. Proton Pass Cure53-granskning: proton.me/blog/pass-launch. NordPass-säkerhet: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Alla URL:er hämtade 2026-04-30.