Hoe je een beveiligingsaudit van een wachtwoordmanager leest: Cure53, ISE, SOC 2 en wat elke audit daadwerkelijk dekt
Verschillende soorten audits controleren verschillende dingen. Cure53 dekt de cryptografische implementatie; SOC 2 dekt de organisatorische beheersmaatregelen. Hier is wat elke grote wachtwoordmanager daadwerkelijk heeft gepubliceerd.
De drie soorten audits die ertoe doen
(1) Cryptografische / penetratieaudit — een beveiligingsbedrijf (Cure53, ISE, NCC Group, Praetorian) onderzoekt de cryptografische implementatie, de toegangscontroles van de server en de client-apps, en rapporteert bevindingen met een classificatie naar ernst. De audit is goed wanneer het volledige rapport wordt gepubliceerd met de naam van de auditor, de datum en de reikwijdte. (2) SOC 2 Type II — een audit van organisatorische beheersmaatregelen die beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy op operationeel niveau dekt over een observatieperiode van meer dan 6 maanden. (3) ISO 27001 — een certificering van een managementsysteem voor informatiebeveiliging. Type 1 ≠ Type 2; de reikwijdte telt zwaarder dan het keurmerk.
Wat elke manager heeft gepubliceerd
Bitwarden: jaarlijkse audits door derden (Cure53, ISE, Insight Risk Consulting); rapporten gelinkt vanaf bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE-penetratietests; auditgeschiedenis op 1password.com/security-audit. Proton Pass: volledige Cure53-beveiligingsaudit bij de lancering (2023, geen kritieke bevindingen, matige bevindingen vóór de lancering verholpen) volgens proton.me/blog/pass-launch. NordPass: white-box-audit door Cure53 in feb. 2020, tweede Cure53-audit van NordPass Business in 2021, SOC 2 Type 2, ISO 27001-gecertificeerd volgens nordpass.com/features/security. KeePassXC: door de community geauditeerde opensource — geen ingekochte audit door derden, maar de broncode is openbaar op GitHub.
Waarschuwingssignalen in auditmarketing
(1) Een audit uitgevoerd door een accountantskantoor zonder de gepubliceerde naam van een beveiligingsbedrijf. (2) Een auditreikwijdte beperkt tot "de applicatie" zonder te specificeren welke componenten. (3) Een audit van ouder dan 24 maanden bij een product waarvan de architectuur is gewijzigd. (4) Een samenvattende brief in plaats van een volledig rapport. (5) Een audit uitgevoerd vóór de release van een grote versie die de cryptografische implementatie wezenlijk heeft veranderd. Geen van de vijf managers in deze vergelijking past in deze patronen; de communicatie van LastPass na het datalek (uitgesloten van deze vergelijking) vertoonde er daarentegen meerdere.
Wat een audit niet dekt
Audits documenteren wat het beveiligingsbedrijf op één moment heeft gecontroleerd. Ze dekken geen supplychainaanvallen (gecompromitteerde npm-afhankelijkheden in de client-build), geen insiderrisico bij de aanbieder en geen nieuwe kwetsbaarheden die na de auditperiode worden ontdekt. De verdedigingen daartegen zijn opensource-clients (zodat onderzoekers elke release onafhankelijk kunnen verifiëren — Bitwarden, Proton Pass, KeePassXC), bug-bountyprogramma's (1Password gebruikt Bugcrowd; Bitwarden gebruikt HackerOne) en architecturale keuzes zoals de 1Password Secret Key (een aanvullend, lokaal opgeslagen geheim dat ervoor zorgt dat een serverlek alleen de kluizen niet kan ontsleutelen).
Bronnen
Bitwarden-audits: bitwarden.com/help/is-bitwarden-audited. 1Password-beveiligingsaudits: 1password.com/security-audit. Cure53-audit van Proton Pass: proton.me/blog/pass-launch. NordPass-beveiliging: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Alle URL's geraadpleegd op 2026-04-30.