Kennisbank

Welke wachtwoordmanagers zijn onafhankelijk gecontroleerd? Het audit-register

Bijna elke aanbieder roept dat hij veilig is. Maar wie heeft zijn beveiliging echt door buitenstaanders laten controleren, en waar kun je dat zelf nakijken? Een register per dienst.

15 juli 2026 11 min lezen Onafhankelijk warenonderzoek

Een wachtwoordmanager vraagt je om het meest gevoelige wat je digitaal bezit op een hoop te gooien: de sleutels tot je hele online leven. De hamvraag is dan niet of een dienst zegt dat hij veilig is, want dat zegt iedereen, maar of iemand anders dan de aanbieder dat heeft gecontroleerd. Beveiliging die niemand van buiten mag inzien, is een belofte; beveiliging die is doorgelicht en waarvan het rapport openbaar staat, is een controleerbaar feit.

Er zijn twee manieren waarop een buitenstaander de beveiliging van een wachtwoordmanager kan controleren. De eerste is open source: de broncode staat openbaar, zodat elke onderzoeker ter wereld hem kan nalezen op fouten. De tweede is de externe audit: een gespecialiseerd beveiligingsbureau krijgt betaald om te proberen de dienst te kraken en publiceert daarna zijn bevindingen. De sterkste diensten doen allebei. Dit register zet per manager op een rij wat er te controleren valt, en, net zo belangrijk, waar je het zelf kunt nakijken.

De managers uit dit register

Live gerangschikt volgens onze methode; de tekst hieronder legt uit hoe die werkt.

Logo van 1Password
Beste allrounder
1Password

AgileBits Inc.

Allrounders4.7
Vanaf €3,99/mndBekijk 1Password
Logo van Bitwarden
Beste gratis
Bitwarden

Bitwarden Inc.

Gratis & open source4.7
Vanaf €1,65/mndBekijk Bitwarden
Logo van NordPass
Scherpe prijs
NordPass

Nord Security

Allrounders4.4
Vanaf €1,49/mndBekijk NordPass
Logo van Proton Pass
Proton Pass

Proton AG

Gratis & open source4.4
Vanaf €1,99/mndBekijk Proton Pass
Logo van Dashlane
Dashlane

Dashlane Inc.

Allrounders4.3
Vanaf €4,99/mndBekijk Dashlane
Logo van Keeper
Keeper

Keeper Security

Allrounders4.3
Vanaf €2,92/mndBekijk Keeper

Waarom "AES-256" en "militaire versleuteling" niets bewijzen

Vrijwel elke aanbieder pronkt met AES-256-versleuteling of "bankwaardige beveiliging". Dat klinkt geruststellend en zegt vrijwel niets, want diezelfde standaard zit ook in de slechtst denkbare dienst. Versleuteling is een open, gratis bouwsteen; de vraag is hoe een dienst hem gebruikt, of de sleutels echt alleen bij jou liggen, en of het geheel is nagerekend door mensen zonder belang bij een mooie uitkomst.

De term die er wel toe doet is zero-knowledge: de versleuteling gebeurt op jouw apparaat, met een sleutel die is afgeleid van je hoofdwachtwoord en die de aanbieder zelf niet kent. Zelfs wanneer de servers van het bedrijf worden gehackt, verliezen aanvallers dan alleen onleesbare brij. Bijna alle serieuze managers claimen dit, en juist daarom is de vervolgvraag zo belangrijk: heeft iemand die claim gecontroleerd?

Groep 1: open source en extern geaudit (het sterkst controleerbaar)

Bitwarden is hiervan het duidelijkste voorbeeld. De volledige broncode staat openbaar op GitHub, en het bedrijf laat zich daarnaast periodiek doorlichten door externe beveiligingsbureaus en publiceert die rapporten. Je hoeft Bitwarden dus niet op zijn woord te geloven; je kunt de code en de audits zelf opzoeken. Dat is de reden dat het in onze bredere vergelijking de eerste aanrader voor de meeste mensen is.

Proton Pass zit in dezelfde categorie. Het komt van de makers van Proton Mail, is open source en de Proton-apps zijn door externe onderzoekers geaudit, met publieke verslagen. Dezelfde Zwitserse privacy-inslag die Proton bekend maakte, geldt hier voor je wachtwoordkluis.

KeePass is het bijzondere geval: een kwart eeuw oud, volledig open source, en jarenlang door de gemeenschap doorgelicht. De broncode is bovendien in het kader van een door de Europese Unie gefinancierd programma op beveiliging onderzocht. De keerzijde is niet de beveiliging maar het gemak: synchronisatie, mooie apps en back-ups moet je zelf regelen.

Groep 2: closed source, maar met gepubliceerde audits en certificeringen

1Password is niet open source, en legt de bewijslast daarom bij herhaalde externe controles: het publiceert beveiligingsaudits en certificeringen op een eigen securitypagina. Architectonisch voegt het bovendien een tweede, apparaatgebonden geheime sleutel toe bovenop je hoofdwachtwoord, waardoor een gestolen kluis zonder dat geheim onbruikbaar blijft. Closed source is hier dus geen zwakte zolang je de gepubliceerde controles kunt inzien.

NordPass laat zijn opzet controleren door het Duitse beveiligingsbureau Cure53 en gebruikt de modernere XChaCha20-versleuteling. Keeper leunt sterk op formele certificeringen: het is een van de weinige consumentenmanagers met een lange lijst compliance-keurmerken uit de zakelijke wereld. Dashlane publiceert een uitgebreid technisch beveiligingsdocument waarin het zijn architectuur uitlegt. In alle drie de gevallen geldt: het bewijs bestaat, maar je moet het bij de aanbieder zelf opzoeken in plaats van in openbare broncode.

Groep 3: waar je beter even doorvraagt

Bij een aantal diensten is de auditinformatie schaarser of vraagt de geschiedenis om aandacht. LastPass is technisch nog een volwaardige manager, maar het datalek van 2022, waarbij versleutelde klantkluizen werden buitgemaakt, en vooral de trage communicatie daarna, hebben het vertrouwen blijvend geraakt. Wie LastPass overweegt, doet er goed aan te wegen hoe zwaar die geschiedenis voor hem telt.

RoboForm en Enpass zijn functioneel prima keuzes, maar publiceren minder over onafhankelijke audits dan de diensten uit groep 1 en 2. Dat maakt ze niet onveilig; het betekent dat je meer op de reputatie en minder op controleerbaar bewijs leunt. En de ingebouwde managers van Apple en Google ten slotte worden niet als los product geaudit, maar maken deel uit van de bredere beveiliging van iOS en Android, die door de beveiligingsgemeenschap continu wordt onderzocht.

Zo controleer je het in vijf minuten zelf

Je hoeft dit register niet te geloven; je kunt het narekenen, en dat is precies de bedoeling. Zoek op de site van de aanbieder naar een pagina met de woorden "security", "audit", "trust" of "compliance". Vind je daar concrete rapporten met een datum en de naam van een extern bureau (zoals Cure53, of een SOC 2-verklaring), dan is er controleerbaar bewijs. Vind je alleen marketingtaal over "militaire versleuteling" zonder enig rapport, dan weet je genoeg.

Is de dienst open source, zoek dan de broncode op (meestal op GitHub) en kijk of die actief wordt onderhouden. En controleer los daarvan de incidentgeschiedenis: zoek de naam van de dienst samen met het woord "breach" of "datalek". Niet elk incident is een dealbreaker, maar hoe een bedrijf erop reageerde, zegt meer over de veiligheid van jouw gegevens dan welke slogan op de homepage ook.

De rode draad: kies een dienst waarvan je de beveiliging kunt nakijken in plaats van moeten geloven. Voor de meeste mensen komt die afweging uit bij een open-sourcedienst met openbare audits, en dat is precies waarom gratis hier vaak veiliger is dan duur.

Verantwoording

Dit register beschrijft de openbaar verifieerbare stand van zaken op de peildatum bovenaan dit artikel: welke diensten open source zijn, welke hun audits of certificeringen publiceren, en welke bekende incidenten meespelen. We noemen bewust geen auditdatums uit ons hoofd; in plaats daarvan wijzen we je naar de plek waar de aanbieder het bewijs zelf publiceert, zodat je altijd de actuele versie ziet. Aanbieders veranderen hun beleid, en audits verlopen: kom je een verouderd detail tegen, laat het ons weten, dan corrigeren we het.

Veelgestelde vragen

Is open source veiliger dan closed source?

Niet automatisch, maar het is wel beter controleerbaar. Bij open source kan iedereen de code nalezen op fouten; bij closed source vertrouw je op de audits die de aanbieder publiceert. Een closed-sourcedienst met regelmatige, openbare externe audits kan even betrouwbaar zijn als een open-sourcedienst. Het probleem is een dienst die closed source is en ook geen audits deelt.

Wat is een SOC 2-audit?

Een SOC 2-verklaring is een controle door een externe accountant of het bedrijf zijn beveiligings- en privacyprocessen op orde heeft. Het is geen kraakpoging op de software zelf, maar wel een teken dat een onafhankelijke partij heeft meegekeken. Veel zakelijke wachtwoordmanagers, zoals Keeper en 1Password, hebben zo'n verklaring.

Betekent een oud datalek dat ik die dienst moet mijden?

Niet per se. Belangrijker dan of er ooit iets misging, is hoe het bedrijf reageerde: was het snel en open, of traag en vaag? Een dienst die na een incident zijn beveiliging aantoonbaar heeft verbeterd en daar transparant over is, kan veiliger zijn dan een dienst die nog nooit is getest.

Waar vind ik de audits van een wachtwoordmanager?

Zoek op de site van de aanbieder naar een pagina met "security", "trust", "audit" of "compliance". Open-sourcediensten linken meestal ook naar hun broncode op GitHub. Staat er alleen marketingtaal en geen enkel rapport, dan is dat zelf een antwoord.

Via links op deze site kunnen wij een kleine commissie verdienen. Dat kost jou niets extra. Prijzen en voorwaarden kunnen wijzigen; controleer altijd de actuele prijs bij de aanbieder.

Lees ook