NordPass 已经进行了全面的安全审核

在 NordPass,我们的使命是开发经济实惠、安全易用的网络安全工具。我们旨在提供更加简单、干净、快速、安全的解决方案。独立审核是实现我们目标的关键步骤,它可以帮助我们构建更加可靠且健全的密码管理器。

  • 在渗透测试人员的帮助下,我们可以在黑客利用它们之前发现潜在问题、修复它们并为我们的用户确保更高的安全标准。

  • 现在,公众有机会对 NordPass 安全性进行独立评估并形成自己的观点。

这就是我们在 NordPass 公开发布之前开始进行这项审核的原因。

结果

我们很自豪地告诉大家,NordPass 已经成功完成由信誉良好的第三方审计机构 Cure53 所执行的独立安全审核。他们研究了我们的加密前提、源代码、NordPass 后台应用程序及其代码库。经过几个月的深入分析,他们最终将调查结果总结为:

“在细节和对规范的遵守程度、Go 代码的清晰度和可读性以及执行、桌面应用程序的整体安全性、浏览器插件以及 NordPass 应用程序的 iOS 和安卓分支等方面取得了许多相关的积极观察结果。”

- Cure53 报告,2020 年 2 月

审核员检查了哪些方面?

选择对白盒方法进行审核。这意味着,我们向 Cure53 团队提供关于 NordPass 的信息,如访问各种材料、文档、源代码以及 NordPass 运行所需的其他数据。根据他们的专长和工作范围,七名测试人员被分配至四个目标领域:

  1. 审查加密前提。

  2. 软件(桌面和移动应用程序)的渗透测试和源代码审核。

  3. NordPass 后台应用程序及其代码库的渗透测试和源代码审核。

  4. 通过测试上述领域,他们还审查了 API 接触点。

在审核的四个阶段中,Cure53 团队发现了九个漏洞,并将另外八个问题记录为利用可能性较低的普通弱点。在审核员继续检查其他目标领域时,我们的团队修复了这些漏洞和问题。

报告员确认,所有问题均已排除并酌情对修复程序进行验证。他们还

“对 [NordPass 团队] 为最大限度地缩小攻击界面所做的努力感到折服,这无疑已成为一项值得注意的优先事项。”

这对您而言意味着什么?

经审核的安全性。我们注重安全性,您无需只听信我们的话。独立审核员也是这样认为的。

一项全新功能——可信联系人密码共享是密码管理器所提供的一项关键功能,我们还向我们的用户提供了此项市场标准。不过,由于存在中间人攻击的可能性,此项功能已被确认为需要改进的地方。

为了解决此问题,我们引进了一项全新功能——可信联系人,此功能允许用户手动交换加密密钥。它可以排除中间人攻击的任何可能性,因此,NordPass 用户现在可以完全安全地共享他们的密码。可信联系人功能在 2 月末发布。

我们将继续利用安全第一的方法来研究 NordPass。因此,我们最近又发布了一些移动功能,如可导入您的信用卡详细信息和笔记的 OCR 扫描仪、生物特征识别和自动填充功能。敬请查看它们!

没有 NordPass?

立即下载

我们还要感谢 Cure53 进行深入分析并帮助我们实现更高的安全标准。如需了解更多详情,请阅读由 Cure53 撰写的审核总结。

Benjamin Scott
验证作者
Ben 是我们的技术奇才。他会分析有难度的主题,并用一种简洁的语言传达给读者。闲暇时他喜欢竞赛,因此,他喜欢参加各种马拉松和铁人三项比赛。