Het geheugen in uw pc bestaat uit meer dan alleen de RAM-modules op het moederbord. Ook de pagefile speelt een belangrijke rol. Dit bestand op de harde schijf zorgt ervoor dat het schijfgeheugen zo optimaal mogelijk functioneert. In deze Expertcursus gaan we in op de werking en de instellingen van de pagefile en laten we zien hoe u dit bestand optimaliseert voor een nog snellere pc.

Dit artikel bestaat uit drie pagina’s:

Pagina 1

- Paging

- Heen en weer

- Omvang van de pagefile

- Instellen

Pagina 2

- Dynamische pagefile

- Optimale omvang

Pagina 3

- Minimum of maximum?

- Optimale plek

- Fragmentatie

- Defragmentatie

Paging

De pagefile wordt ten onrechte ook wel het wisselbestand (‘swap file’) genoemd. In een wisselbestand worden echter complete processen ondergebracht als er RAM vrijgemaakt moet worden voor andere toepassingen. In Windows 3.1 werd deze methode nog gebuikt, maar sinds de introductie van Windows 95 is dat niet meer nodig. Sindsdien worden slechts delen van een proces (zogeheten ‘pages’ of geheugenpagina’s) naar het schijfgeheugen verplaatst. Dit proces wordt ‘paging’ genoemd, in tegenstelling tot ‘swapping’, waarvan bij het wisselgeheugen sprake was. Een verschil met swapping is dat paging preventief kan gebeuren – zelfs al bij het starten van het besturingssysteem of een applicatie.

Dit verklaart meteen waarom Windows altijd een pagefile zal gebruiken als deze aanwezig is: bij opstarten worden alle benodigde onderdelen van het besturingssysteem en de overige programma’s in hun geheel in het RAM geladen, maar al direct daarna zullen er weer geheugenpagina’s van Windows en andere programma’s vanuit het RAM naar de pagefile worden verplaatst. Op de afbeelding op de vorige pagina ziet u deze situatie: Commit geeft hier het totale geheugen­gebruik direct na opstarten van Windows 7 weer, terwijl onder Physical de op dat moment gebruikte hoeveelheid RAM te zien is. Het verschil geeft aan dat er circa 105 MB van de pagefile in gebruik is.

©PXimport

Direct na opstarten is al ongeveer 105 MB van de pagefile in gebruik.

Heen en weer

Het lijkt misschien vreemd om gegevens al in de veel tragere pagefile te plaatsen op een moment dat er nog voldoende snel RAM beschikbaar is. Maar gegevens die niet direct nodig zijn, zouden in dat geval onnodig ruimte innemen van data die wél direct nodig zijn. Door geheugenpagina’s bij voorbaat al in de pagefile te plaatsen, houdt Windows het gebruikte RAM zo klein mogelijk. Op die manier blijft er een maximale hoeveelheid ongebruikt RAM over om zaken in op te slaan, waarvan aangenomen wordt dat ze binnenkort, en in dat geval ook direct, nodig zullen zijn. Deze standby-gegevens in het RAM vormen de systeemcache, en Windows probeert deze altijd zo groot mogelijk te maken. Hierdoor wordt het werkelijk ongebruikte deel van het RAM zo klein mogelijk of zelfs nihil.

De systeemcache is overigens geen apart deel van het RAM; gegevens kunnen tot de cache of tot het gebruikte geheugen behoren, ongeacht hun plaats in het RAM.

Op basis van het gebruik van de op de pc lopende processen, worden er regelmatig geheugenpagina’s uit de cache naar de pagefile verplaatst om plaats te maken voor nieuwe standby-data, er worden pagina’s uit de pagefile opgehaald en gebruikt door programma’s, om vervolgens weer teruggeplaatst te worden naar de pagefile of om tot de cache te gaan behoren, etcetera. Dit alles om het virtuele geheugen zo efficiënt mogelijk te gebruiken, en zo goed mogelijk te anticiperen op wat de gebruiker gaat doen.

Het virtuele geheugen is overigens niet hetzelfde als de pagefile, wat blijkbaar nogal eens gedacht wordt. Virtueel moet hier opgevat worden als schijnbaar. Met virtueel geheugen wordt de hoeveelheid geheugen bedoeld die Windows (en programma’s) lijken te gebruiken. Het bestaat uit het gebruikte RAM en het gebruikte deel van de pagefile. Dit kan dus meer zijn dan de werkelijk aanwezige hoeveelheid fysiek geheugen. De totaal beschikbare virtuele geheugen bestaat uit de hoeveelheid RAM, aangevuld met de hoeveelheid aan de pagefile toegewezen schijfruimte.

©PXimport

Totaal beschikbaar virtueel geheugen (Limit) en RAM (Physical). Het verschil (hier 2 GB) is toegewezen aan de pagefile.

Omvang van de pagefile

Wanneer u niets aan de standaardinstellingen verandert, bepaalt Windows de omvang van de pagefile zelf. Als u 1 GB RAM of minder hebt, zal er ongeveer anderhalf maal die hoeveelheid schijfruimte aan de pagefile worden toegewezen. De maximaal bruikbare omvang van de pagefile ligt dan op ongeveer drie maal de hoeveelheid RAM. Blijkt de toegewezen grootte onvoldoende, dan kan de pagefile tot die omvang worden uitgebreid, al zal het in de praktijk nauwelijks voorkomen dat de reserveruimte in zijn geheel gebruikt wordt, omdat de meeste pc’s voor die tijd al tegen andere grenzen aan zullen lopen. Een pagefile met een verschillende grootte wordt een dynamische pagefile genoemd. Dit in tegenstelling tot een gefixeerde pagefile, waarbij begingrootte en maximale grootte gelijk zijn.

Hebt u meer dan 1 GB RAM, dan zal Windows ongeveer dezelfde hoeveelheid schijfruimte aan de pagefile toewijzen. De aanbevolen omvang is daarbij steeds anderhalf maal de hoeveelheid RAM.

©PXimport

De toegewezen en aanbevolen hoeveelheid schijfruimte voor de pagefile bij 2 GB RAM.

Instellen

U kunt ook zelf een begin- en maximale grootte voor de pagefile instellen. Hiertoe opent u via Start / Uitvoeren eerst het venster Systeemeigenschappen. Typ sysdm.cpl en klik op OK. Vervolgens gaat u naar het tabblad Geavanceerd, waar u onder Prestaties op de knop Instellingen klikt. Klik op het tabblad Geavanceerd op de knop Wijzigen en haal eventueel het vinkje weg bij Wisselbestandgrootte voor alle stations automatisch beheren, en kies Aangepaste grootte, waarna u de gewenste gegevens invoert. Tenslotte klikt u op Instellen en twee keer op OK. Wanneer u de pagefile verkleint, krijgt u de melding te zien dat u de pc opnieuw op moet starten.

©PXimport

Handmatig instellen van de pagefile.

Pagefile leegmaken

De pagefile kan privacygevoelige gegevens bevatten. Wilt u niet dat deze achterblijven op de harde schijf, dan kunt u de pagefile leeg laten maken bij het afsluiten van de pc. Hiertoe opent u de registereditor. Ga naar Start / Uitvoeren, typ regedit en klik op OK. Navigeert naar HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management, waar u dubbelklikt op ClearPageFileAtShutdown, vervolgens de waarde 0 in 1 verandert, en na een klik op OK de registereditor sluit. Het afsluiten van Windows zal vervolgens wat langer duren. Het legen van de pagefile levert overigens geen prestatieverbetering op. Het af en toe uitvoeren van deze actie in het kader van opschoonacties is dus niet zinvol.

Dynamische pagefile

Geeft u verschillende waarden op, dan creëert u een dynamische pagefile. Het voordeel van een dergelijke pagefile dat er aanvankelijk weinig schijfruimte wordt gebruikt. Pas als de toegewezen ruimte onvoldoende blijkt, wordt deze uitgebreid. Het nadeel is dat er fragmentatie van de pagefile kan optreden. Wanneer de benodigde extra ruimte niet direct aan de bestaande pagefile toegevoegd kan worden, zullen er elders op de schijf stukjes pagefile worden aangemaakt. In dat geval is de pagefile dus gefragmenteerd. Dit leidt niet direct tot een enorm prestatieverlies, maar een optimale situatie is het niet. Wanneer u uw pc opnieuw opstart, zal de pagefile overigens weer de begingrootte toegewezen krijgen.

Wanneer u dit soort fragmentatie wilt voorkomen, voert u bij zowel de begingrootte als de maximale grootte dezelfde waarde in. Omdat er daarna geen ruimte meer is voor uitbreiding, kan de pagefile hierdoor in ieder geval niet meer gefragmenteerd raken, maar het nadeel is uiteraard dat de toegewezen schijfruimte niet meer is uit te breiden als dit nodig blijkt te zijn. Om te voorkomen dat u op enig moment een waarschuwing over te weinig virtueel geheugen krijgt, dient de pagefile zo groot gemaakt te worden dat hij in alle voorkomende gevallen toereikend zal zijn (zie volgende paragraaf).

©PXimport

Een vaste omvang van de pagefile voorkomt fragmentatie.

Optimale omvang

Het is niet moeilijk de pagefile een omvang te geven die altijd voldoende is: wanneer u bijvoorbeeld een vaste pagefile van 5 GB instelt, is dit altijd genoeg. De kans is echter groot dat er van die 5 GB nooit meer dan een fractie gebruikt zal worden – zeker wanneer u over voldoende RAM beschikt. Maar ook bij weinig RAM, bijvoorbeeld 512 MB, zal 5 GB veel te veel zijn. Tegen de tijd dat er in dat geval één of anderhalf GB van de pagefile in gebruik is, kunt u nauwelijks meer met uw pc werken. Een instelling waarbij de pagefile nodeloos enkele gigabytes te veel in beslag neemt, is uiteraard niet optimaal te noemen, want ook al hebben de prestaties van de pc niets te lijden van een grote of zelfs zeer grote pagefile, u verspilt er natuurlijk wel veel schijfruimte mee.

Een optimale instelling van de pagefile is voor elke pc verschillend, omdat dit afhangt van de hardwareconfiguratie en de werkzaamheden die op de pc worden uitgevoerd. Een uitstekend hulpmiddel om de optimale instelling voor uw pc te bepalen is System Information van Process Explorer (zie kader ‘Process Explorer System Information’.) De werkwijze is eenvoudig: nadat u de pc enige tijd hebt gebruikt (waarbij u het pagefilebeheer aan Windows overlaat), opent u System Information, en kijkt u bij Commit Charge naar de waarde die achter Peak vermeld staat. Dit is het maximum dat de pc tijdens de huidige sessie aan virtueel geheugen heeft verbruikt. In het voorbeeld hieronder ligt deze waarde rond de 2.400 MB. Trekt u hier de hoeveelheid RAM (Total) van af, dan blijkt er dus maximaal ongeveer 300 MB van de pagefile gebruikt te zijn.

©PXimport

Er is ongeveer 300 MB van de pagefile in gebruik geweest.

Process Explorer System Information

Hoewel het geheugengebruik in Windows Taakbeheer wordt weergegeven, geven we de voorkeur aan het wat uitgebreidere System Information, dat een onderdeel van Process Explorer is. Dit programma downloadt u via http://ct.link.ctw.nl/processexplorer. Via het menu View opent u System Information. De belangrijkste info vindt u onder Commit Charge en Physical Memory. Hier worden de volgende zaken aangegeven:

Commit Charge

- Current: de hoeveelheid virtueel geheugen die momenteel gebruikt wordt.

- Limit: de totaal beschikbare hoeveelheid virtueel geheugen.

-Peak: het hoogste virtueel-geheugengebruik sinds het starten van de huidige sessie (in dit geval bereikt tijdens een stress-test, en dus geen gangbare waarde).

Physical Memory

- Total: de aanwezige hoeveelheid bruikbaar fysiek geheugen (RAM).

- Available: de systeemcache plus het ongebruikt geheugen.

- System Cache: geeft hier in Windows 7 RC een foutieve waarde; in Vista en XP wordt de juiste hoeveelheid gegevens in de systeemcache vermeld.

De aan de pagefile toegewezen grootte krijgt u door de waarde achter Limit van de waarde achter Total af te trekken. De waarden worden weergegeven in kilobytes. Deze deelt u door 1.024 om het aantal megabytes te verkrijgen. Nogmaals door 1.024 delen levert het aantal gigabytes op. Verder zijn de waarden Commit en Physical naast de grafieken van belang. Het verschil tussen deze twee geeft aan hoeveel er momenteel van de pagefile in gebruik is.

Minimum of maximum?

Blijkt na enige tijd dat deze hoeveelheid gebruikelijk is op uw pc, dan kunt u de pagefile een vaste grootte van bijvoorbeeld 400 MB toewijzen. Als u op wat meer voorbereid wilt zijn, stelt u dit als begingrootte in, en kiest u voor de maximale grootte het dubbele. Wilt u, om fragmentatie te voorkomen, liever geen dynamische pagefile, dan geeft u zowel de begingrootte als de maximale grootte deze dubbele waarde.

Is de waarde achter Peak voortdurend kleiner dan het fysieke geheugen, dan wil dit niet zeggen dat de pagefile niet gebruikt wordt. Zoals we aan het begin van deze Expertcursus lieten zien, gebruikt Windows de pagefile altijd als deze aanwezig is. Het uitschakelen van de pagefile is nooit aan te raden, ook al is de Peak–waarde voortdurend kleiner dan de hoeveelheid RAM. In dat geval kunt u het best de minimumwaarde instellen die voor de pagefile is toegestaan. Bij systeemcrashes kan er dan een geheugendump naar de pagefile worden weggeschreven. Standaard zal dit een kleine dump zijn, waar dan ruimschoots plaats voor is.

Ligt de Commit Charge Peak daarentegen voortdurend in de buurt van de limiet, dan is dit een aanwijzing dat u fysiek geheugen te kort komt.

Overigens beïnvloedt een te grote pagefile de prestaties van de pc niet negatief, zoals we hierboven al aangaven. Het enige nadeel is in dat geval dat u schijfruimte verspilt. Het zo klein mogelijk maken van de pagefile levert ook geen prestatieverbetering op, maar kan wel problemen veroorzaken, omdat u de pc bepaalde beperkingen oplegt.

Het precies afstellen van de pagefile, heeft dus alleen invloed op de gebruikte schijfruimte. Wanneer u over een ruime hoeveelheid schijfruimte beschikt, is het vaak niet echt zinvol de pagefile tot op enkele tientallen MB’s nauwkeurig aan de behoefte aan te passen. Hoewel de kans groter is dat er fragmentatie optreedt, kunt u de pagefile in dat geval rustig door Windows laten beheren. Wilt u fragmentatie voorkomen, dan geeft u de page een vast instelling met de waarde die Windows bij eigen beheer steeds toewijst.

©PXimport

Een pagefile van 16 MB is ruim voldoende voor een kleine geheugendump.

Optimale plek

Standaard bevindt de pagefile zich op de systeemschijf. Is er sprake van een gepartitioneerde schijf, dan is de systeempartitie aan de buitenkant te vinden, aangezien dit het snelste deel van de schijf is. In theorie kunt u de snelheid verhogen waarmee gegevens uit de pagefile gelezen worden door het bestand naar de uiterste rand van de schijf te verplaatsen. Er is defragmentatiesoftware waarmee dit mogelijk is, maar met de huidige snelle schijven zult u hier niet veel prestatiewinst mee behalen.

Dat laatste is wél mogelijk als u de pagefile op een ander volume onderbrengt. Dat dient dan wel een andere fysieke schijf te zijn: het verplaatsen van de pagefile naar een andere partitie zal de prestaties juist verminderen, omdat u de pagefile daarmee naar een langzamer deel van de schijf verhuist. Bovendien ligt dit gedeelte ook nog eens verder van de systeempartitie af. Verplaatst u de pagefile naar een andere schijf, dan moet deze sneller of even snel als de systeemschijf zijn. Dit houdt automatisch in dat een externe usb-schijf niet geschikt is.

Om de pagefile naar een ander schijf te verplaatsen opent u eerst het venster Systeemeigenschappen. U gaat naar het tabblad Geavanceerd, waar u onder Prestaties op de knop Instellingen klikt. Vervolgens klikt u op het tabblad Geavanceerd op de knop Wijzigen. Voor de systeemschijf geeft u nu aan dat er geen wisselbestand gebruikt moet worden, waarna u op Instellen klikt. Hierna selecteert u de schijf waar de pagefile naartoe moet, en u stelt de gewenste grootte in, waarna u weer op Instellen klikt. Tot slot klikt u twee keer op OK, waarna u de pc opnieuw opstart om de wijzigingen door te voeren.

©PXimport

Het verhuizen van de pagefile.

Woordenlijst

Pagefile: een bestand op de harde schijf dat als extra geheugen wordt gebruikt.

Paging: het wegschrijven van geheugenpagina’s naar de pagefile.

Swap file: de voorloper van de pagefile, waarin gehele processen werden opgeslagen als er te weinig RAM was.

Swapping: het wegschrijven van processen naar de swap file.

Fysiek geheugen: de geheugenmodules op het moederbord, ofwel het RAM (Random Access Memory).

Virtueel geheugen: schijnbaar geheugen; wat een programma ziet als een aaneengesloten geheel van geheugenadressen, kan zich in feite deels in het RAM en deels op de schijf bevinden

Fragmentatie

Zoals gezegd kan er fragmentatie optreden wanneer Windows de aan de pagefile toegewezen schijfruimte vergroot. Gelukkig is dit meestal maar tijdelijk. Soms raakt de pagefile echter permanent gefragmenteerd. Dit kan bijvoorbeeld al gebeuren tijdens de installatie van Windows, maar het doet zich soms ook voor na een ‘repair install’ of na het wijzigen van de schijfindeling met een partitieprogramma. In Windows XP ziet u in het analyserapport van Schijfdefragmentatie of de pagefile gefragmenteerd is.

In Vista en Windows 7 gebruikt u hiervoor Defraggler. Gebruik dit programma alleen om de schijf te analyseren, niet om deze te defragmenteren! Defraggler gebruikt namelijk een ander defragmentatie-algoritme dan Windows, dat in conflict komt met het prefetching-proces dat sinds XP wordt gebruikt. Nadat u op de knop Analyse hebt geklikt, ziet u een grafische weergave van de schijf. Een uitleg van de betekenis van de verschillende kleuren krijgt u via Help / Drive Map Legend.

©PXimport

Een gefragmenteerde pagefile.

Defragmentatie

Als Windows Schijfdefragmentatie de pagefile niet kan defragmenteren, kunt u voor XP het programma PageDefrag gebruiken. PageDefrag defragmenteert de pagefile en andere systeembestanden tijden het opstarten. Onder Windows 7 en Vista werkt dit tooltje helaas niet. Onder deze besturingssystemen kunt u de pagefile het beste tijdelijk naar een andere partitie of schijf verplaatsen zie de voorgaande paragraaf. Nadat u de pagefile hebt verplaatst, voert u een defragmentatie van de systeemschijf uit: u gaat naar Start / Alle programma’s / Bureau-accessoires / Systeemwerkset / Schijfdefragmentatie, waarna u de systeemschijf selecteert en op Schijf defragmenteren klikt. Na deze defragmentatie schakelt u de tijdelijke pagefile weer uit, en stelt u een nieuwe pagefile in op de systeemschijf. Na opnieuw opstarten zal de pagefile weer uit één fragment bestaan.

©PXimport

De pagefile bestaat weer uit één fragment.

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.