Як читати аудит безпеки менеджера паролів: Cure53, ISE, SOC 2 — і що насправді охоплює кожен із них
Різні типи аудитів перевіряють різні речі. Cure53 охоплює криптографічну реалізацію; SOC 2 охоплює організаційні контролі. Ось що кожен із основних менеджерів паролів насправді опублікував.
Три типи аудитів, які мають значення
(1) Криптографічний / пенетраційний аудит — компанія з безпеки (Cure53, ISE, NCC Group, Praetorian) перевіряє криптографічну реалізацію, контролі доступу до серверів та клієнтські застосунки й звітує про знахідки з оцінкою критичності. Аудит є цінним, коли повний звіт публікується з ім'ям аудитора, датою та обсягом. (2) SOC 2 Type II — аудит організаційних контролів, що охоплює безпеку, доступність, цілісність обробки, конфіденційність і приватність на операційному рівні протягом вікна спостереження понад 6 місяців. (3) ISO 27001 — сертифікація системи управління інформаційною безпекою. Type 1 ≠ Type 2, обсяг важливіший за саму відзнаку.
Що опублікував кожен менеджер
Bitwarden: щорічні сторонні аудити (Cure53, ISE, Insight Risk Consulting); звіти, прив'язані з bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + пенетраційні тести ISE; історія аудитів на 1password.com/security-audit. Proton Pass: повний аудит безпеки Cure53 під час запуску (2023, без критичних знахідок, помірні знахідки усунуто до запуску) за proton.me/blog/pass-launch. NordPass: white-box аудит Cure53 у лютому 2020, другий аудит Cure53 для NordPass Business у 2021, SOC 2 Type 2, сертифікат ISO 27001 за nordpass.com/features/security. KeePassXC: open source, аудитований спільнотою — без замовленого стороннього аудиту, але вихідний код є публічним на GitHub.
Тривожні сигнали в маркетингу аудитів
(1) Аудит, проведений бухгалтерською фірмою без зазначеної назви компанії з безпеки. (2) Обсяг аудиту, обмежений «застосунком» без зазначення, яких компонентів. (3) Аудит, старіший за 24 місяці, для продукту, архітектура якого змінилася. (4) Підсумковий лист замість повного звіту. (5) Аудит, проведений до випуску великої версії, яка суттєво змінила криптографічну реалізацію. Жоден із п'яти менеджерів у цьому порівнянні не відповідає цим патернам; комунікація LastPass після витоку даних (виключена з цього порівняння), натомість, демонструвала кілька з них.
Чого аудит не охоплює
Аудити документують те, що компанія з безпеки перевірила в один момент часу. Вони не охоплюють атаки на ланцюг постачання (скомпрометовані залежності npm у збірці клієнта), внутрішній ризик у постачальника або нові вразливості, виявлені після завершення вікна аудиту. Захистом від цього є відкриті клієнти (щоб дослідники могли незалежно перевіряти кожен реліз — Bitwarden, Proton Pass, KeePassXC), програми bug bounty (1Password веде Bugcrowd; Bitwarden веде HackerOne) та архітектурні рішення, як-от Secret Key від 1Password (додатковий, локально збережений секрет, що означає: сам злом сервера не може розшифрувати сховища).
Джерела
Аудити Bitwarden: bitwarden.com/help/is-bitwarden-audited. Аудити безпеки 1Password: 1password.com/security-audit. Аудит Cure53 Proton Pass: proton.me/blog/pass-launch. Безпека NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Усі URL-адреси відкриті 2026-04-30.