Cách đọc một bản kiểm toán bảo mật trình quản lý mật khẩu: Cure53, ISE, SOC 2 — và mỗi loại thực sự bao quát điều gì
Các loại kiểm toán khác nhau kiểm tra những thứ khác nhau. Cure53 bao quát phần triển khai mật mã; SOC 2 bao quát các biện pháp kiểm soát tổ chức. Đây là những gì mỗi trình quản lý mật khẩu lớn đã thực sự công bố.
Ba loại kiểm toán quan trọng
(1) Kiểm toán mật mã / thâm nhập — một công ty bảo mật (Cure53, ISE, NCC Group, Praetorian) xem xét phần triển khai mật mã, kiểm soát truy cập máy chủ, các ứng dụng khách, và báo cáo các phát hiện kèm mức độ nghiêm trọng. Kiểm toán tốt khi báo cáo đầy đủ được công bố kèm tên đơn vị kiểm toán, ngày và phạm vi. (2) SOC 2 Type II — một cuộc kiểm toán các biện pháp kiểm soát tổ chức bao quát bảo mật, tính sẵn sàng, tính toàn vẹn xử lý, tính bảo mật và quyền riêng tư ở cấp độ vận hành trong cửa sổ quan sát hơn 6 tháng. (3) ISO 27001 — chứng nhận cho một hệ thống quản lý an toàn thông tin. Type 1 ≠ Type 2, phạm vi quan trọng hơn cái huy hiệu.
Mỗi trình quản lý đã công bố những gì
Bitwarden: kiểm toán bên thứ ba hằng năm (Cure53, ISE, Insight Risk Consulting); các báo cáo được liên kết từ bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + kiểm thử thâm nhập ISE; lịch sử kiểm toán bảo mật tại 1password.com/security-audit. Proton Pass: kiểm toán bảo mật Cure53 đầy đủ khi ra mắt (2023, không có phát hiện nghiêm trọng, các phát hiện mức trung bình đã được khắc phục trước khi ra mắt) theo proton.me/blog/pass-launch. NordPass: kiểm toán white-box của Cure53 tháng 2/2020, kiểm toán Cure53 thứ hai cho NordPass Business năm 2021, SOC 2 Type 2, chứng nhận ISO 27001 theo nordpass.com/features/security. KeePassXC: mã nguồn mở được cộng đồng kiểm toán — không có kiểm toán bên thứ ba được đặt hàng, nhưng mã nguồn công khai trên GitHub.
Các dấu hiệu cảnh báo trong tiếp thị kiểm toán
(1) Một cuộc kiểm toán do một công ty kế toán thực hiện mà không có tên công ty bảo mật được công bố. (2) Phạm vi kiểm toán giới hạn ở “ứng dụng” mà không nêu rõ những thành phần nào. (3) Một cuộc kiểm toán cũ hơn 24 tháng trên một sản phẩm có kiến trúc đã thay đổi. (4) Một thư tóm tắt thay vì một báo cáo đầy đủ. (5) Một cuộc kiểm toán được thực hiện trước một bản phát hành phiên bản lớn đã thay đổi đáng kể phần triển khai mật mã. Không có trình quản lý nào trong số năm trình quản lý trong bản so sánh này khớp với các mẫu này; các thông cáo của LastPass sau sự cố rò rỉ (bị loại khỏi bản so sánh này) thì lại có một số trong đó.
Những gì một cuộc kiểm toán không bao quát
Các cuộc kiểm toán ghi lại những gì công ty bảo mật đã kiểm tra tại một thời điểm. Chúng không bao quát các cuộc tấn công chuỗi cung ứng (các phụ thuộc npm bị xâm phạm trong bản build của ứng dụng khách), rủi ro nội bộ ở nhà cung cấp, hay các lỗ hổng mới được phát hiện sau cửa sổ kiểm toán. Các biện pháp phòng vệ trước những điều đó là ứng dụng khách mã nguồn mở (để các nhà nghiên cứu có thể xác minh từng bản phát hành một cách độc lập — Bitwarden, Proton Pass, KeePassXC), các chương trình bug-bounty (1Password vận hành Bugcrowd; Bitwarden vận hành HackerOne), và những lựa chọn kiến trúc như 1Password Secret Key (một bí mật bổ sung được lưu cục bộ, nghĩa là chỉ một vụ rò rỉ máy chủ không thể giải mã các kho).
Nguồn
Kiểm toán Bitwarden: bitwarden.com/help/is-bitwarden-audited. Kiểm toán bảo mật 1Password: 1password.com/security-audit. Kiểm toán Cure53 của Proton Pass: proton.me/blog/pass-launch. Bảo mật NordPass: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Tất cả URL được truy cập ngày 2026-04-30.