Bir Parola Yöneticisi Güvenlik Denetimi Nasıl Okunur: Cure53, ISE, SOC 2 ve Her Birinin Gerçekte Neyi Kapsadığı
Farklı denetim türleri farklı şeyleri kontrol eder. Cure53 kriptografik uygulamayı kapsar; SOC 2 ise kurumsal kontrolleri kapsar. İşte her büyük parola yöneticisinin gerçekte neyi yayımladığı.
Önem taşıyan üç denetim türü
(1) Kriptografi / sızma denetimi — bir güvenlik firması (Cure53, ISE, NCC Group, Praetorian) kriptografik uygulamayı, sunucu erişim kontrollerini ve istemci uygulamalarını inceler ve bulguları ciddiyet derecelendirmeleriyle raporlar. Tam rapor; denetçi adı, tarih ve kapsamla birlikte yayımlandığında denetim iyi sayılır. (2) SOC 2 Type II — güvenlik, kullanılabilirlik, işleme bütünlüğü, gizlilik ve mahremiyeti operasyonel düzeyde, 6+ aylık bir gözlem penceresi boyunca kapsayan bir kurumsal kontroller denetimi. (3) ISO 27001 — bir bilgi güvenliği yönetim sisteminin sertifikalandırılması. Type 1 ≠ Type 2; kapsam, rozetten daha önemlidir.
Her yöneticinin neyi yayımladığı
Bitwarden: yıllık üçüncü taraf denetimleri (Cure53, ISE, Insight Risk Consulting); raporlar bitwarden.com/help/is-bitwarden-audited adresinden bağlantılı. 1Password: SOC 2 Type II + ISE sızma testleri; güvenlik denetimi geçmişi 1password.com/security-audit adresinde. Proton Pass: lansmanda tam Cure53 güvenlik denetimi (2023, kritik bulgu yok, orta düzey bulgular lansman öncesi giderildi), proton.me/blog/pass-launch kaynağına göre. NordPass: Şubat 2020'de Cure53 beyaz kutu denetimi, 2021'de NordPass Business üzerinde ikinci Cure53 denetimi, SOC 2 Type 2, ISO 27001 sertifikalı, nordpass.com/features/security kaynağına göre. KeePassXC: topluluk denetimli açık kaynak — görevlendirilmiş üçüncü taraf denetimi yok, ancak kaynak kodu GitHub'da herkese açık.
Denetim pazarlamasındaki uyarı işaretleri
(1) Yayımlanmış bir güvenlik firması adı olmadan bir muhasebe firması tarafından yapılan bir denetim. (2) Hangi bileşenleri kapsadığını belirtmeden yalnızca 'uygulama' ile sınırlı bir denetim kapsamı. (3) Mimarisi değişmiş bir üründe 24 aydan eski bir denetim. (4) Tam rapor yerine bir özet mektubu. (5) Kriptografik uygulamayı önemli ölçüde değiştiren büyük bir sürüm çıkışından önce yapılmış bir denetim. Bu karşılaştırmadaki beş yöneticiden hiçbiri bu kalıplara uymuyor; buna karşılık LastPass'in ihlal sonrası iletişimleri (bu karşılaştırmadan hariç tutulmuştur) bunların birkaçını sergiliyordu.
Bir denetimin neyi kapsamadığı
Denetimler, güvenlik firmasının belirli bir zaman noktasında neyi kontrol ettiğini belgeler. Tedarik zinciri saldırılarını (istemci derlemesindeki ele geçirilmiş npm bağımlılıkları), sağlayıcıdaki iç tehdit riskini veya denetim penceresinden sonra keşfedilen yeni güvenlik açıklarını kapsamazlar. Bunlara karşı savunmalar şunlardır: açık kaynaklı istemciler (böylece araştırmacılar her sürümü bağımsız olarak doğrulayabilir — Bitwarden, Proton Pass, KeePassXC), hata ödülü programları (1Password Bugcrowd kullanır; Bitwarden HackerOne kullanır) ve 1Password Secret Key gibi mimari tercihler (yalnızca bir sunucu ihlalinin kasaları çözememesini sağlayan, yerel olarak saklanan ek bir gizli anahtar).
Kaynaklar
Bitwarden denetimleri: bitwarden.com/help/is-bitwarden-audited. 1Password güvenlik denetimleri: 1password.com/security-audit. Proton Pass Cure53 denetimi: proton.me/blog/pass-launch. NordPass güvenliği: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Tüm URL'lere 2026-04-30 tarihinde erişildi.