Een wachtwoordmanager vraagt je om het meest gevoelige wat je digitaal bezit op een hoop te gooien: de sleutels tot je hele online leven. De hamvraag is dan niet of een dienst zegt dat hij veilig is, want dat zegt iedereen, maar of iemand anders dan de aanbieder dat heeft gecontroleerd. Beveiliging die niemand van buiten mag inzien, is een belofte; beveiliging die is doorgelicht en waarvan het rapport openbaar staat, is een controleerbaar feit.
Er zijn twee manieren waarop een buitenstaander de beveiliging van een wachtwoordmanager kan controleren. De eerste is open source: de broncode staat openbaar, zodat elke onderzoeker ter wereld hem kan nalezen op fouten. De tweede is de externe audit: een gespecialiseerd beveiligingsbureau krijgt betaald om te proberen de dienst te kraken en publiceert daarna zijn bevindingen. De sterkste diensten doen allebei. Dit register zet per manager op een rij wat er te controleren valt, en, net zo belangrijk, waar je het zelf kunt nakijken.