Je beheert een bescheiden netwerk thuis of op je werk en dat betekent dat je altijd wel iets omhanden hebt. Alle hulp is dan meer dan welkom en die kan WSCC (Windows System Control Center) je zeker bieden: deze gereedschapskist bevat namelijk bijna driehonderd gratis tools. In 15 stappen kun je je perfecte thuisnetwerk aanleggen.

Tip 01: Collectie

Ben je al langer bezig met de uitbouw van je netwerk, dan ben je vast al eens gestuit op systeemtools van Sysinternals (Mark Russinovich) of van NirSoft (Nir Sofer). Wat je misschien niet weet, is dat die allebei praktisch alle eigen tools in een softwarepakket hebben samengebracht: Sysinternals Suite (ongeveer zeventig tools) en NirLauncher (ongeveer tweehonderd tools). Maar het wordt nog beter: beide pakketten zijn tot een supersuite samengesmolten in WSCC, wat staat voor Windows System Control Center. Wij telden haast driehonderd tools, en nagenoeg alle tools zijn geschikt voor Windows 7 en hoger. Toegegeven, er is enige overlap, maar één ding is zeker: ben je op zoek naar een tool voor optimalisatie of troubleshooting, dan kom je met WSCC helemaal aan je trekken.

©PXimport

Tip 02: Download

Laten we beginnen met de installatie van WSCC – hoewel, installatie … er bestaan ook portable versies van deze suite. Je vindt de downloads hier. Wijzelf kiezen voor WSCC 64-bit (Portable), dat zich als een zip-bestand laat ophalen. Heb je een 32bit-versie van Windows geïnstalleerd dan kies je logischerwijs voor WSCC (Portable) of eventueel voor WSCC (Setup). Om te achterhalen welke Windows-variant je hebt draaien, klik je in Windows 10 de Windows-startknop met de rechtermuisknop aan en kies je Systeem. Bij Typesysteem lees je de nodige informatie af.

Zodra je het zip-bestand hebt uitgepakt, dubbelklik je op het exe-bestand. Dat blijkt aanvankelijk weinig meer te zijn dan een grafische schil rond tools die je nog eerst even moet downloaden. Er verschijnt een venstertje waarin je kunt aangeven uit welke softwarebronnen je wilt putten. We stellen voor dat je alle vinkjes laat staan en dat je driemaal bevestigt met Yes en met OK. Let wel, als je van plan bent de suite alleen op systemen met dezelfde architectuur (32 bit of 64 bit) te gebruiken, vink dan Install a single architecture aan en kies dan tussen: Install the 64-bit version if available en Install the 32-bit version if available. Zodra je nu de Install-knop indrukt en met Yes bevestigt, worden alle tools netjes opgehaald en op je schijf gezet. Rustig afwachten, want dat kan een paar minuten in beslag nemen. Overigens hoef je niet bang te zijn dat je schijf dichtslibt: het totale pakket neemt ruwweg maar zo’n 100 MB in beslag.

©PXimport

Tip 03: Interface

Zodra alle downloads zijn uitgevoerd, worden de tools standaard alfabetisch weergegeven in het hoofdvenster van WSCC wanneer je in het linkervenster de rubriek AllItems aanklikt. Voor we in deze gereedschapskist duiken, is het goed om weten dat je via de knop Updates (rechtsboven) op elk moment snel kunt nagaan van welke tools er eventueel een update is uitgekomen. Die kun je dan net zo makkelijk ophalen met de Install-knop.

Toegegeven, met bijna driehonderd tools is de rubriek AllItems misschien niet de meest aangewezen weg om snel de gewenste tool te vinden. Gelukkig zijn er hulpmiddelen aan boord. Zo kun je een tool met de rechtermuisknop aanklikken en Add to Favorites selecteren. Die belanden dan automatisch in de rubriek Favorites. Verder zijn er nog thematische rubrieken, zoals File and Disk, Web Browser, Network, Internet, Security, Audio/Video enzovoort, al dan niet opgesplitst per suite (SysInternals Suite, NirSoftUtilities en een aantal Windows-eigen tools). Ten slotte is er nog de zoekbalk waarmee je gericht op trefwoorden in de namen en beschrijvingen van de tools kunt zoeken.

We wijzen je ook nog graag op de knop NewConsole. Hiermee start je een opdrachtvenster op, waarbij je zowel commando’s als de bijhorende parameters kunt uitvoeren. Via het kleine pijltje bij Command komen trouwens al meteen een paar tientallen opdrachten onder handbereik.

©PXimport

Keuze

Tip 04: Verdacht verkeer?

Je hebt al een paar keer gemerkt dat de leds op je switch of router hevig tekeergaan terwijl er nauwelijks iemand op je netwerk actief is. Dat kan op onschuldig netwerkverkeer wijzen, zoals een back-up naar een online opslagruimte, maar ook malware valt niet uit te sluiten.

In eerste instantie kun je dan Netstat (Windows / Network) starten. Die toont je de actieve netwerkverbindingen (tcp) evenals de poorten waarop de machine aan het ‘luisteren’ is. Je leest ook de adressen af van de betrokken partijen. Met Ctrl+C zet je deze sessie weer stop. Tools waarmee je nog meer te weten komt zijn TCPView (Sysinternals / Network) en vooral ook CurrPorts (NirSoftUtilities / Network). Deze laatste geeft in realtime alle netwerkverbindingen weer, inclusief de naam van en het pad naar het betreffende proces (zoals TeamViewer_Service.exe of Outlook.exe), het bedrijf dat achter dit proces zit, het lokale ip-adres en het adres van de andere partij (RemoteAddress), enzovoort.

©PXimport

Tip 05: Whois?

Er zitten echter nog een paar extra handigheden in deze tool. Wanneer je het vizier-icoon aanklikt en dat naar een programmavenster versleept, dan krijg je alleen de netwerkverbindingen te zien van dat specifieke programma. Op deze manier ontdek je heel snel welke toepassing voor welke netwerkconnecties verantwoordelijk is.

Stel, je krijgt een remote ip-adres te zien en je wilt toch achterhalen wie of wat achter dat adres zit. Ook dat kom je zo te weten! Klik het betreffende item met de rechtermuisknop aan en kies IPNetInfo in het contextmenu. Hiermee start je automatisch alweer een andere tool van NirSoft op, eentje die een zogenoemde ‘whois’-actie uitvoert. Als het goed is, kom je dan onder meer de naam, e-mailadres en telefoonnummer van de eigenaar te weten, evenals het adres en het land van herkomst.

©PXimport

Tip 06 Netwerk: snelheid

Doet een netwerkverbinding nukkig, dan is een AdapterWatch (NirSoft Utilities / Network) een prima vertrekpunt voor je troubleshooting-sessie. Die geeft namelijk een overzicht van alle netwerkadapters van het betreffende toestel en geeft je over elke adapter heel veel informatie. We focussen ons hier op een aantal items die, afhankelijk van het probleem, best nuttig kunnen zijn.

Wil je weten welke adapter op dit moment actief is, kijk dan naar ReceivedData en SentData: hier lees je namelijk ‘live’ af hoeveel data de adapter al tijdens de huidige werksessie heeft ontvangen en verstuurd.

Het item Interface Speed (Bits Per Second) vertelt je of de adapter wel degelijk is ingesteld op 1 Gigabit (1 000 000 000) dan wel op 100 Mbit (100 000 000). Blijkt het slechts om 100 Mbit te gaan terwijl je 1 Gigabit had verwacht, dan staat je adaptersnelheid wellicht foutief ingesteld. In dat geval druk op je Windows-toets+R en voer je het commando devmgmt.msc uit. Het Windows Apparaatbeheer start op. Klik met de rechtermuisknop op de betreffende adapter in de rubriek Netwerkadapters en kies Eigenschappen. Open vervolgens het tabblad Geavanceerd en zoek naar (iets als) Snelheid & duplex. Staat die ingesteld op 100 Mbps, kies dan in het uitklapmenu de optie Automatisch onderhandelen of stel die eventueel vast in op 1.0 Gbps full duplex. Bevestig met OK.

©PXimport

Tip 07 Netwerk: dhcp

Via AdapterWatch vind je onder meer nog de DefaultGateway terug, in de vorm van een ip-adres. In de meeste gevallen is dat het interne ip-adres van je router. Wanneer je dus de instellingen op je router wilt checken, dan hoef je in principe alleen maar dit adres in te vullen op de adresbalk van je browser, waarna je de webinterface van je router te zien krijgt en je je kunt aanmelden.

Het interne ip-adres van de computer zelf lees je af bij IPAddresses. Blijkt dit een adres te zijn dat begint met 169. dan heb je de pc hoogstwaarschijnlijk zó ingesteld dat die automatisch een ip-adres moet krijgen van je router – in dit geval lees je dan Yes af bij DHCP Enabled – maar krijgt die om een of andere reden toch geen (geldig) adres door. In dat geval doe je er goed aan de instellingen van je router na te lopen (zie boven) en te controleren of de dhcp-service daar wel is ingeschakeld.

©PXimport

Tip 08 Netwerk: dns

Bij een ingeschakeld dhcp krijg je, naast een ip-adres, normaliter automatisch ook de adressen van de dns-servers door – de router zelf ontvangt die gewoonlijk van je internetprovider. Kort door de bocht zorgt zo’n dns-server ervoor dat een website correct kan worden gevonden wanneer je de url in je browser invult.

Stel je op een bepaald moment vast dat je niet meer kunt surfen, controleer dan of er wel een ip-adres staat ingevuld bij DNSServers. Overigens kun je ook altijd zelf alternatieve dns-servers invullen, bijvoorbeeld die van Google. Dat doe je als volgt in Windows. Druk op Windows-toets+R en voer het commando ncpa.cpl uit. Klik de (actieve) netwerkadapter met de rechtermuisknop aan en kies Eigenschappen. Kies Internet Protocol Versie 4 en druk op de knop Eigenschappen. Vink De volgende DNS-serveradressen gebruiken aan en vul de adressen 8.8.8.8 en 8.8.4.4 in. Of, voor wie dat nuttig vindt: wanneer je hier 208.67.220.123 en 208.67.222.123 invult dan worden de meeste pornografische sites op dit toestel automatisch geblokkeerd – met dank aan de dns-servers van OpenDNS.

Tip 09 Verbonden apparaten

Stel, je wilt een bepaald apparaat bereiken dat aan je netwerk hangt, maar je kent het ip-adres (of de hostnaam) niet meer, of je wilt gewoon weten welke apparaten met je netwerk verbonden zijn. In beide gevallen kan de tool WhoIsConnectedSniffer (NirSoft Utilities / Network) je van dienst zijn. Let wel, om de ingebouwde ‘sniffer’ zijn werk te laten doen is het wel nodig dat je WSCC opstart als administrator: klik met de rechtermuisknop op wscc.exe en kies Als administrator uitvoeren. Overigens, mocht je ondervinden dat ook andere tools uit WSCC niet naar behoren functioneren: de kans is groot dat ze wél werken wanneer je WSCC als administrator opstart.

Bij het opstarten van WhoIsConnectedSniffer laat je desgevraagd de optie WinPcap Packet Capture Driver aangevinkt. Als het goed is toont de tool vervolgens de gedetecteerde toestellen, zoals een netwerkprinter, pc’s, internetcamera, router, nas, enzovoort. Je komt onder meer de ip- en mac-adressen te weten, evenals de naam van de fabrikant.

©PXimport

Tip 10 Netwerkbronnen

NetResView (NirSoft Utilities / Network) scant eveneens je netwerk, maar deze keer met de bedoeling alle bereikbare netwerkbronnen te inventariseren. Je ziet bijvoorbeeld welke gedeelde mappen zoal beschikbaar zijn, welke gedeelde printers, enzovoort. Je hoeft eigenlijk niet meer te doen dan aan te geven in welke items je precies geïnteresseerd bent – iets wat je overigens altijd nog kunt aanpassen via Options / Advanced Options. De tool deelt je onder meer de sharenaam, het lokale pad en het ip-adres mee. Als je bij een bepaald item, zoals een gedeelde map op een nas, over de nodige machtigingen beschikt, dan kun je er vanuit het contextmenu ook meteen naartoe gaan.

©PXimport

Tip 11 Wifi-optimalisatie

Heel veel thuisgebruikers hebben een wifi-netwerk dat (nog) op de 2.4 GHz-band opereert. Dat houdt in dat er slechts elf (of dertien, zo je wilt) kanalen beschikbaar zijn. Wil je er zeker van zijn dat naburige netwerken niet interfereren met je eigen draadloze netwerk, dan zorg je er het best voor dat je eigen kanaal minstens vijf kanalen verwijderd is van dat van de andere netwerken. Om te zien welke netwerken in je onmiddellijke omgeving actief zijn en op welk kanaal ze opereren, kun je WifiInfoView inzetten (NirSoft Utilities / Network). Die geeft niet alleen een overzicht van de ssd’s (netwerknamen, zeg maar), maar ook het kanaalnummer – en nog veel meer. Stel je bijvoorbeeld vast dat een naburig netwerk op kanaalnummer 9 opereert en je eigen netwerk is actief op kanaal 6 dan kun je dit laatste – in je draadloze router of accesspoint – wijzigen in bijvoorbeeld kanaal 1 (of je spreekt met je buren af dat jullie allemaal een ander kanaal kiezen).

WifiInfoView kan echter ook nuttig zijn als je een ‘site survey’ wilt uitvoeren, aangezien ook de rssi-waarde (Received Signal Strength Indicator) van de gedetecteerde toegangspunten wordt meegedeeld. Wanneer je WSCC op je laptop installeert en daarmee rondwandelt terwijl WifiInfoView draait, kun je op elk moment de signaalsterkte van je eigen draadloze router aflezen en op die manier de optimale positie van die router bepalen.

Ook goed om weten: de tool WifiHistoryView geeft je een chronologisch overzicht van alle verbindingen die je computer eerder met een draadloos netwerk heeft gemaakt.

©PXimport

Tip 12 Actieve processen

Start een computer opvallend traag op of reageert hij soms langzaam, dan is de kans reëel dat je te maken hebt met ongewenste ‘mee-eters’. Dat zijn programma’s die vaak ongemerkt tegelijk met Windows opstarten en op de achtergrond actief blijven. Je kunt wel een en ander controleren vanuit het Windows taakbeheer (druk Ctrl+Shift+Esc), met name op de tabbladen Opstarten en Processen, maar Autoruns (SysinternalsSuite / Process) werkt grondiger en is veel informatiever. Zowat alles wat automatisch wordt opgestart, krijg je hier te zien. Het tabblad Everything verzamelt al deze items, maar via de andere tabbladen krijg je een uitgesplitste weergave. Zo geeft het tabblad Logon de typische autostart-locaties weer voor alle Windows-gebruikers, vind je bij Scheduled Tasks een overzicht terug van de ingeplande taken, enzovoort. Wil je een item (tijdelijk) op non-actief zetten, dan hoef je alleen maar het bijhorende vinkje maar weg te halen. Je kunt een item echter ook effectief verwijderen door het met de rechtermuisknop aan te klikken en Delete te kiezen.

Handig is ook de mogelijkheid om een snapshot van de resultaten te nemen (via File / Save) en dat, bijvoorbeeld meteen na de installatie van een nieuw programma, te vergelijken met de huidige situatie (via File / Compare). Op die manier kom je snel te weten of dat programma niet stiekem een of ander proces activeert bij het opstarten.

Ook nuttig: wanneer je een item aanklikt met de rechtermuisknop en CheckVirusTotal selecteert, wordt het naar een online antivirusservice doorgestuurd en krijg je even later in de kolom VirusTotal (uiterst rechts) het resultaat te zien van een zestigtal antivirustools.

©PXimport

Tip 13 Schijfactiviteit

Je schijf ratelt voortdurend en je wilt wel eens weten welke schijfactiviteit er gaande is. Of je bent gewoon nieuwsgierig naar wat een bepaald programma allemaal uitspookt op je systeem. In beide gevallen heb je aan Process monitor (SysInternals Suite / File and Disk) een slimme detective. Zodra je de tool opstart, logt die standaard alles wat er op dat moment gebeurt met je register, bestandshuishouding, netwerkadapter, enzovoort. Via File / Capture Events of met de sneltoets Ctrl+E kun je op elk moment deze gebeurtenissenregistratie onderbreken en ook weer opstarten. Je zult merken: het aantal geregistreerde gebeurtenissen kan in korte tijd ontstellend groot worden. Gelukkig kun je deze informatiestroom op diverse manieren filteren of beperken. Via de knopjes rechts op de knoppenbalk kun je bijvoorbeeld alleen activiteit met betrekking tot het Windows-register, bestanden of de netwerkadapter laten monitoren. Op deze knoppenbalk tref je ook een vizierknopje aan: wanneer je dat naar het venster van een opgestarte toepassing versleept en daar loslaat, krijg je alleen nog de activiteiten te zien waar die applicatie verantwoordelijk voor is.

Wil je haarfijn kunnen instellen wat de tool moet monitoren dan maak je beter gebruik van het filterknopje. Via de uitklapmenu’s kun je hier meerdere filters activeren en bijvoorbeeld alleen bepaalde toepassingen laten monitoren die specifieke handelingen uitvoeren. Met de Reset-knop verwijder je deze extra filters weer.

©PXimport

Tip 14 Mapcontrole

Je wilt om een of andere reden weten zodra er zich een wijziging in een (al dan niet gedeelde) map of een van de submappen voordoet. Daar kan FolderChangesView (Nirsoft Utilities / File and Disk) je bij helpen. Je geeft eerst de basismap aan die je wilt laten monitoren. Standaard staat er ook een vinkje bij Monitor all subfolders under the specified folders. Het is echter mogelijk extra filters in te stellen, en bijvoorbeeld alleen bestanden te tonen – of die juist niet te tonen – die aan bepaalde voorwaarden voldoen. Bijvoorbeeld geen bestanden met extensie tmp of bak (*.tmp, *.bak) of geen bestanden groter dan 100000 bytes. Als je dat zo instelt, worden alle gedetecteerde wijzigingen automatisch in een tekstbestand bewaard of je krijgt een zelf in te stellen geluidje te horen zodra een wijziging zich voordoet.

©PXimport

Tip 15 Speciale mappen

Windows gebruikt zelf een groot aantal speciale mappen, bijvoorbeeld om toepassingsinstellingen of mediabestanden te bewaren, om tijdelijke bestanden of snelkoppelingen naar andere bestanden in op te slaan, enzovoort. Het is vaak een hele zoektocht om zo’n map te lokaliseren, aangezien die vaak diep in de mappenhiërarchie zit verborgen. Gelukkig kun je daarvoor SpecialFoldersView (NirSoft Utilities / File and Disk) gebruiken.

Zodra je deze tool opent, krijg je een overzicht van alle bekende Windows-mappen met de standaardnaam en het exacte pad naar die map. Een dubbelklik volstaat om je meteen naar de gewenste map te brengen. Plaats je bijvoorbeeld bestanden in de map CDBurning, dan duikt een pop-upvenster op van waaruit je die bestanden op cd of dvd kunt branden. En open je de map Fonts, dan krijg je een overzicht van alle geïnstalleerde fonts. Het volstaat hier een font te selecteren en Voorbeeld aan te klikken om te zien hoe dat font er in verschillende groottes uitziet.

©PXimport

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.