Gebruikersvoorkeuren, Windows-instellingen, software- en hardwareconfiguraties: al deze informatie wordt bijgehouden in het register. Een hiërarchisch opgebouwde database in Windows. Hoe krijg je toegang tot het Windows-register, hoe maak je een veiligheidskopie en hoe ga je na je wat er zoal in dit register gebeurt?

Tip 01: Bestanden

Het Windows-register houdt talloze instellingen bij. Niet alleen van Windows zelf, maar ook van hardwarecomponenten en allerlei andere applicaties en services. Op het niveau van de Verkenner blijkt het register uit een reeks bestanden te bestaan (ook wel hives genoemd – letterlijk: bijenkorven) waarvan de meeste zich bevinden in de map %systemroot%\system32\config. Het is absoluut niet de bedoeling dat je deze binaire bestanden rechtstreeks probeert te openen, laat staan te wijzigen of te verwijderen. Windows laat je deze informatie gelukkig wel op een gebruiksvriendelijkere manier benaderen via een ingebouwde tool: druk op Windows-toets+R en voer Regedit uit.

©PXimport

Tip 02: Boomstructuur

Zodra je het register met Regedit hebt opgestart, zie je in het linkervenster de vijf hoofdsleutels te zien in de vorm van een boomstructuur, waarbij elk item op een steeds lager niveau sleutels, subsleutels en ingangen bevat. Die ingangen verschijnen in het rechtervenster van Regedit en worden gekenmerkt door een naam, een gegevenstype en de eigenlijke data. Er zijn zes verschillende gegevenstypes, maar bij het tweaken kom je vooral met twee types in aanraking: tekenreekswaarden (een tekenreeks met variabele lengte) en dword-waarden (een ‘double word’ oftewel een waarde van 32 bits, vaak gebruikt voor schakelopties als 0 (uit) en 1 (aan)). Net zoals in het navigatievenster van de Verkenner is het voldoende om te dubbelklikken op het item om dieper in de boomstructuur te kunnen afdalen. Zolang je geen wijzigingen aanbrengt, is het volkomen veilig om zo het register te benaderen. Ga bijvoorbeeld maar eens op zoek naar de schijflocatie van de Windows-hives te zien. Dubbelklik achtereenvolgens op HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Hivelist.

©PXimport

Tip 03: Sleutelback-up

Voor we je vertellen hoe je de inhoud van sleutels kunt wijzigen, geven we je eerst mee hoe je een veiligheidskopie maakt, zowel van individuele sleutels als van het complete register. Immers, een ondoordachte aanpassing zadelt je in het slechtste geval met een onopstartbare Windows op.

Beginnen we met het back-uppen van een registersleutel: klik de gewenste (sub)sleutel met de rechtermuisknop aan en kies Exporteren. Check bij Exportbereik of inderdaad de gewenste (sub)sleutel is geselecteerd en geef een duidelijke naam voor het exportbestand op. Je hebt verschillende opties bij Opslaan als. Standaard staat hier Registerbestanden (*.reg) geselecteerd: het resultaat is een tekstbestand waarop je in de Verkenner enkel hoeft te dubbelklikken om, na je bevestiging, de originele waarden binnen die (sub)sleutel in register terug te zetten. Had je intussen echter nieuwe subsleutels binnen die sleutel gecreëerd, dan worden deze niet automatisch verwijderd wanneer je zo’n reg-bestand terugplaatst. Is dat wel de bedoeling, dan dien je bij Opslaan als het type Registercomponentbestanden (*.*) te selecteren. Het resulterende bestand is binair en kun je terugzetten vanuit Regedit, via Bestand / Importeren, waarbij je als type Registercomponentbestanden (*.*) instelt.

©PXimport

Tip 04: Registerback-up

Hoewel een registerback-up ook mogelijk is met behulp van een systeemherstelpunt (druk op de Windows-toets, tik herstel in en kies Een herstelpunt maken) of door in het register het menu Bestand / Exporteren te kiezen en bij Exportbereik de optie Alles aan te stippen, kun je beter gebruikmaken van een externe tool als Regbak. Na een eenvoudige installatie start je de tool op en druk je op de knop New Backup. Voorzie het van een geschikte naam en laat de standaardlocatie %SystemRoot%\RegBak ongemoeid. Indien noodzakelijk kun je dit aanpassen via Options. Eventueel bepaal je via Click here to view details welke hives je in de back-up mee wilt nemen. Bevestig met OK / Start en even later is de back-up toegevoegd aan het overzicht.

Ook het herstellen van een compleet register, met behulp van RegBak, is eenvoudig. Start RegBak op, selecteer de gewenste back-up, druk op Restore en op Start – tenzij je nog wilt specificeren welke hives je precies wilt terugzetten: in dat geval klik je eerst de Options aan.

©PXimport

Tip 05: Registerherstel (1)

Maar wat als je je register zo verknoeid hebt dat Windows niet meer wil opstarten? Start dan je systeem op met het installatiemedium van Windows. Heb je nog niet eerder zo’n installatiemedium gemaakt, creëer dat dan alsnog met behulp van een andere pc en het hulpprogramma Windows Media Creation Tool. Zodra je het systeem hiermee hebt opstart, stel je eerst taal en toetsenbord in, waarna je voor Uw computer herstellen kiest. Vervolgens selecteer je Problemen Oplossen / Opdrachtprompt. Het komt er vervolgens op aan de juiste stationsletter van je Windows-partitie te vinden, wat wellicht niet het gebruikelijke station (C:) is. Een eenvoudig trucje hiervoor is door via de opdrachtprompt Notepad uit te voeren en dan door Bestand / Opslaanals de stationsletter van je Windows-partitie te vinden – dus die met (onder meer) de map \Windows.

©PXimport

Tip 06: Registerherstel (2)

Heb je de locatie gevonden? Sluit dan Notepad af en ga met het commando cd <naam submap> stapsgewijs naar de back-upmap van Regbak; normaliter is dat iets als \Windows\Regbak\<naam_pc>\<datum_backup>. Wanneer je nu het commando dir uitvoert, zou je hier onder meer het bestand regres.cmd terug moeten kunnen vinden.

Voer vervolgens het commando regres.cmd uit met als parameter de stationsletter van je Windows-partitie (bijvoorbeeld: regres.cmd e:). Als het goed is, worden je register-hives nu mooi teruggezet en kun je Windows weer op de normale manier opstarten. Je voert deze procedure uiteraard alleen maar uit als Windows daadwerkelijk niet meer wil opstarten door een corrupt register.

©PXimport

Tip 07: Tweaks

Je weet nu hoe je zowel individuele sleutels als het complete register kunt back-uppen en terugplaatsen, en dus kun je met een gerust geweten registertweaks uitvoeren. Er zijn vele tweaks op internet te vinden, bijvoorbeeld via een zoekterm als windows 10 registry tweak <topic>.

We laten een eenvoudige tweak zien, namelijk: je wilt ook de seconden zien in de Windows-systeemklok. Start Regedit op en navigeer naar de sleutel HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced. Als je deze sleutel opent, vind je in het rechtermenu een hele reeks items, maar ShowSecondsInSystemClock staat er niet bij. Zelf aanmaken dus maar … Ga naar het menu Bewerken en kies Nieuw / DWORD-waard (32 bits). Wijzig de naam in ShowSecondsInSystemClock en dubbelklik vervolgens op dit item. Wijzig de huidige waarde 0 in 1. Bevestig met OK, sluit Regedit af en meld je opnieuw bij Windows aan. Wil je de seconden weer kwijt, wijzig dan de 1 in 0 of verwijder de waarde ShowSecondsInSystemClock.

©PXimport

Tip 08: Snel vinden

Wil je vaker naar dezelfde registersleutel terugkeren, dan is het slim deze in Regedit aan je favorietenlijst toe te voegen. Open de betreffende sleutel, ga naar Favorieten, kies Toevoegen aan favorieten, geef het een geschikte naam een bevestig met OK. Je vindt de sleutel voortaan onder de opgegeven naam terug in het menu Favorieten.

Daarnaast kun je in het register ook naar specifieke namen zoeken. Open daarvoor het menu Bewerken en kies Zoeken. Vul een zoekterm in en geef aan in welke onderdelen je precies wilt zoeken: Sleutels, Waarden en/of Gegevens. Met F3 navigeer je naar het eerstvolgende zoekresultaat. Houd er wel rekening mee dat Regedit enkel zoekt vanaf de sleutel die je op dat moment hebt geselecteerd.

Voor nog krachtiger zoekmogelijkheden is het portable RegScanner een prima tool. Onderaan de webpagina vind je trouwens ook een Nederlands taalbestand (regscanner_dutch.zip) dat je eerst uitpakt en vervolgens in de eveneens uitgepakte programmamap plaatst. Start het programma op, klik op Opnieuw Scannen en vul de zoekcriteria in. Je kunt onder meer aangeven in welke hives RegScanner (niet) mag speuren, binnen welke periode een registersleutel aangepast zou zijn enzovoort. Met een dubbelklik open je de gevonden sleutel in Regedit.

©PXimport

Tip 09: Opschonen

Het kan altijd gebeuren dat registersleutels corrupt raken of niet meer ter zake doen. Een zogenoemde registercleaner kan dergelijke ongeregeldheden wellicht voor je oplossen. Echter, in tegenstelling tot wat je vaak leest, zal zo’n tool zelden een fiks probleem kunnen oplossen of je systeemprestaties kunnen verhogen. Erger zelfs, het valt niet uit te sluiten dat zo’n programma net iets te voortvarend te werk gaat en sleutels verwijdert die alsnog nodig bleken. Wil je een dergelijk programma toch gebruiken, zorg er dan in ieder geval voor dat je een registerback-up (zie ook tip 4 en 5) hebt gemaakt.

Er zijn verschillende gratis registercleaners, waaronder CCleaner en Auslogics Registry Cleaner. We bekijken even deze laatste. Verwijder tijdens de installatie het vinkje naast alle onderdelen die je niet mee wilt installeren. Start de tool op en klik op Scan Now. Na afloop kun je de gevonden ‘problemen’ bekijken en eventueel bepaalde vinkjes weghalen. Controleer of er wel degelijk een vinkje staat bij Back Up Changes en druk vervolgens op Repair. Gaat er onverhoopt toch iets fout, open dan het menu File en kies Rescue Center. Selecteer de gemaakte back-up, klik op Restore en op Yes.

©PXimport

Tip 10: Aanpassing opsporen

Het kan nuttig zijn om te weten welke registersleutels een programma of service tijdens de installatie of het gebruik zoal aanpast. Met een gratis tool als RegistryChangesView (een Nederlands taalbestand is afzonderlijk te downloaden en uit te pakken) kun je daarachter komen. Start de tool op en klik op de knop Momentopname van register maken. Bepaal welke hives je in het snapshot mee wil nemen, bedenk een geschikte naam en locatie en bevestig met Momentopname maken. Installeer of gebruik vervolgens het programma waarvan je de registerimpact wilt nagaan. Vervolgens kies je Bestand / RegistryChangesView-opties en verwijs je bij Gegevensbron van register 1 naar je snapshotmap. Bij Gegevensbron van register 2 kun je Huidige register selecteren – tenzij je ook hiervoor een tweede snapshot had gemaakt: in dat geval kies je hier Opgeslagen momentopname van register. Zodra je op OK drukt, verschijnt er een mooi overzicht van de verschillen.

©PXimport

Tip 11: Monitoren

Het is overigens ook mogelijk in realtime na te gaan wat er allemaal in het register gebeurt. Ook hiervoor bestaan enkele tools, waaronder Sysinternals Process Monitor. Pak het gedownloade zip-bestand uit en start de portable tool op. Zorg ervoor dat in de knoppenbalk alleen het knopje Show Registry Activity is geselecteerd (de vijfnalaatste in de rij): in de statusbalk onderaan zie je het aantal registeractiviteiten. Handig is nog het vizierknopje: wanneer je dat naar een open programmavenster versleept, worden alleen de (register)activiteiten van die applicatie getoond. Om je een idee te geven: onze eigen Word-applicatie zorgde voor zo’n 20.000 registerwijzigingen binnen zo’n vijf minuten. Gelukkig bevat het programmaatje een aantal krachtige filteropties zodat je toch je weg kunt vinden binnen de ontstellende hoeveelheid informatie. Ga naar het menu Filter, kies Filter en vul de gewenste filtercriteria in. Je zal al snel merken: Process Monitor mikt vooral op de doorwinterde gebruiker.

©PXimport

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.