NordPass 已经进行了全面的安全审核

在 NordPass,我们的使命是开发经济实惠、安全易用的网络安全工具。我们旨在提供更加简单、干净、快速、安全的解决方案。独立审核是实现我们目标的关键步骤,它可以帮助我们构建更加可靠且健全的密码管理器。

  • 在渗透测试人员的帮助下,我们可以在黑客利用它们之前发现潜在问题、修复它们并为我们的用户确保更高的安全标准。

  • 现在,公众有机会对 NordPass 安全性进行独立评估并形成自己的观点。

这就是我们在 NordPass 公开发布之前开始进行这项审核的原因。

结果

我们很自豪地告诉大家,NordPass 已经成功完成由信誉良好的第三方审计机构 Cure53 所执行的独立安全审核。他们研究了我们的加密前提、源代码、NordPass 后台应用程序及其代码库。经过几个月的深入分析,他们最终将调查结果总结为:

“在细节和对规范的遵守程度、Go 代码的清晰度和可读性以及执行、桌面应用程序的整体安全性、浏览器插件以及 NordPass 应用程序的 iOS 和安卓分支等方面取得了许多相关的积极观察结果。”

- Cure53 报告,2020 年 2 月

审核员检查了哪些方面?

选择对白盒方法进行审核。这意味着,我们向 Cure53 团队提供关于 NordPass 的信息,如访问各种材料、文档、源代码以及 NordPass 运行所需的其他数据。根据他们的专长和工作范围,七名测试人员被分配至四个目标领域:

  1. 审查加密前提。

  2. 软件(桌面和移动应用程序)的渗透测试和源代码审核。

  3. NordPass 后台应用程序及其代码库的渗透测试和源代码审核。

  4. 通过测试上述领域,他们还审查了 API 接触点。

在审核的四个阶段中,Cure53 团队发现了九个漏洞,并将另外八个问题记录为利用可能性较低的普通弱点。在审核员继续检查其他目标领域时,我们的团队修复了这些漏洞和问题。

报告员确认,所有问题均已排除并酌情对修复程序进行验证。他们还

“对 [NordPass 团队] 为最大限度地缩小攻击界面所做的努力感到折服,这无疑已成为一项值得注意的优先事项。”

这对您而言意味着什么?

经审核的安全性。我们注重安全性,您无需只听信我们的话。独立审核员也是这样认为的。

一项全新功能——可信联系人密码共享是密码管理器所提供的一项关键功能,我们还向我们的用户提供了此项市场标准。不过,由于存在中间人攻击的可能性,此项功能已被确认为需要改进的地方。

为了解决此问题,我们引进了一项全新功能——可信联系人,此功能允许用户手动交换加密密钥。它可以排除中间人攻击的任何可能性,因此,NordPass 用户现在可以完全安全地共享他们的密码。可信联系人功能在 2 月末发布。

我们将继续利用安全第一的方法来研究 NordPass。因此,我们最近又发布了一些移动功能,如可导入您的信用卡详细信息和笔记的 OCR 扫描仪、生物特征识别和自动填充功能。敬请查看它们!

没有 NordPass?

立即下载

我们还要感谢 Cure53 进行深入分析并帮助我们实现更高的安全标准。如需了解更多详情,请阅读由 Cure53 撰写的审核总结。

Benjamin Scott
验证作者
Ben is our tech geek. He analyses difficult topics and brings them to the reader in a nice and simple language. In his free time, he loves to compete, so he likes to participate in various marathons and triathlons.