Maak je back-ups graag volgens de regels, maar wil je niet te veel betalen? Diensten als Google Drive en Dropbox bieden standaard al aardig wat cloudopslag voor niks. Zoek je extra ruimte, dan kun je bijvoorbeeld Hetzner Storage Box overwegen. Deze optie gaan we in dit artikel verkennen. We laten ook zien hoe je slim en efficiënt een back-up naar de cloud kunt maken.

Volgens de 3-2-1-regel hoor je drie kopieën van je data te hebben, waarvan twee lokaal op verschillende media maar ook één op een andere locatie. Dat systeem beschermt je bij diefstal, waterschade of brand. Hiervoor zijn meerdere opties. Bij veel data is een NAS ideaal. Bij een bescheiden dataset of voor een extra kopie van alleen de belangrijkste data is de cloud een prima bestemming. Je bent dan niet van anderen afhankelijk. Met de huidige hoge internetsnelheden en incrementele back-ups is dat ook voor grotere back-ups goed te doen, zeker als je het automatiseert. De cloudback-up is vaak een laatste redmiddel, dus je hoeft data niet vaak terug te halen.

Cloudopslag is tegenwoordig relatief goedkoop als je meerekent dat je geen aanschafkosten voor hardware en stroomkosten meer hebt. Je hebt bovendien geen onderhoudsperikelen én kunt makkelijk opschalen, zonder nieuwe investeringen te hoeven doen. De cloud groeit gewoon met je mee.

In dit artikel laten we zien hoe je een back-up naar de cloud kunt maken met relatief voordelige opslagopties en enkele handige tools. We gaan met Hetzner Storage Box aan de slag én benutten de gratis goedkope cloudopslag die je wellicht al hebt, zoals Dropbox en Google Drive. Als back-uptool gaan we Kopia gebruiken, maar ook Rclone komt aan bod, waar Kopia voor sommige opslagdiensten op leunt.

©Kanlaya - stock.adobe.com

Cloudopslag

1 Dropbox en co

Beschik je over bijvoorbeeld Dropbox, Google Drive of OneDrive, dan is die dienst zeker geschikt voor een back-up in de cloud. Ook veel tools werken ermee samen, waaronder Kopia. De ruimte is vaak wel beperkt. Bij Google Drive wordt de standaard 15 GB gedeeld tussen Drive, Gmail en Google Foto’s. Wel kun je dit tegen betaling uitbreiden met bijvoorbeeld 100 GB (€ 1,99/maand) of 2 TB (€ 9,99/maand). De genoemde prijzen zijn bij betaling per maand. Bij jaarlijkse betaling bespaar je ongeveer 20 procent. Bij zulke prijzen zijn ook alternatieven interessant, zoals Hetzner Storage Box, dat we in dit artikel gaan gebruiken naast Dropbox en co.

Google Drive deelt de opslag met onder meer Gmail en Google Foto’s.

2 Hetzner Storage Box

Voor betaalbare en flexibel toegankelijke cloudopslag nemen we een Storage Box van Hetzner als voorbeeld. De verschillende abonnementen kun je vinden op de website van Hetzner onder Storage / Storage Box. Wij kiezen 1 TB (€ 3,81/maand). Andere opties zijn bijvoorbeeld 5 TB (€ 12,97/maand) of 10 TB (€ 24,75/maand). Betalen kan onder meer via een SEPA-overschrijving, creditcard of PayPal. Er zijn geen eenmalige kosten en er worden ook geen kosten voor dataverkeer berekend. Bij opzegging betaal je alleen voor de periode waarin je de beschikking had over de dienst, wat dus ook een gedeelte van een maand kan zijn.

De grotere capaciteiten geven je meer snapshots, maar verder zijn de specificaties gelijk. Zulke snapshots zijn handig, omdat je in feite een momentopname van de hele inhoud van de Storage Box kunt maken, die je terug kunt zetten als de situatie daarom vraagt. Het staat overigens los van de snapshots die we zelf met Kopia gaan maken.

Overzicht met abonnementen en specificaties voor Hetzner Storage Box.

3 Aanvraag Storage Box

Het is handig om een account te maken als je dat nog niet hebt en daarna een aanvraag te starten voor de gewenste Storage Box. Hierbij kun je kiezen tussen een datacenter in Finland of Duitsland. Duitsland ligt voor Nederlanders het meest voor de hand. We raden aan om tweestapsverificatie aan te zetten voor je account. Dit kan direct na je aanvraag. Vrij snel na je aanvraag staat de cloudopslag voor je klaar. Je kunt hier op meerdere manieren toegang toe krijgen. De website toont een tabel met alle beschikbare protocollen voor toegang en enkele compatibele toepassingen, waaronder BorgBackup, Restic, Rclone en rsync.

Je kunt bij de aanvraag kiezen tussen een datacenter in Finland of Duitsland.

4 Toegang instellen

We gaan eerst naar Hetzner Robot voor het instellen van toegang en beheer van de opslag. Begin onder Storage Box data. Stel een nieuw sterk wachtwoord in via Reset password. Noteer dit direct: het wordt slechts eenmalig getoond.

We willen voor Kopia een sub-account gebruiken, waarvoor we eerst een eigen map moeten maken. Om dat te kunnen doen, is eerst toegang tot de opslag nodig. Hiervoor gaan we WebDAV onder Windows gebruiken. Zet daarom een vinkje bij WebDAV support. Noteer de gebruikersnaam achter User name. Ga in Windows naar Verkenner en dan Deze pc. Klik rechts op een lege plek en kies Een netwerklocatie toevoegen en dan Een aangepaste netwerklocatie selecteren. Vul het adres in, in de vorm https://gebruikersnaam.your-storagebox.de. Log daarna in met je gebruikersnaam en het zojuist ingestelde wachtwoord. Nu kun je als het goed is door de nog lege cloudopslag bladeren.

Via Hetzner Robot kun je je Storage Box beheren.

5 Sub-account maken

We willen zoals aangegeven Kopia via een sub-account gaan gebruiken met een eigen map. Het voordeel is dat Kopia met dat sub-account enkel toegang tot de bewuste map heeft, terwijl de hoofdgebruiker wel alle mappen kan benaderen. Maak daarvoor eerst een map in de via WebDAV gekoppelde opslag (bijvoorbeeld met de naam kopia). Maak daarna onder Sub-account een sub-account. Selecteer hierbij de zojuist gemaakte map. Zet vinkjes bij Allow SSH en External reachability voor toegang van buitenaf via ssh. Klik dan op Save. Noteer de gebruikersnaam en het wachtwoord.

We maken een sub-account waarmee gebruik van Kopia kan worden gemaakt.

Kopia

6 Compatibiliteit

We gaan in dit artikel actief met Kopia aan de slag, dat flexibel inzetbaar is en cross-platform, al richten we ons hier vooral op Windows. Je kunt een back-up naar lokale opslag of je netwerk maken, maar ook naar de cloud. Voor Hetzner Storage Box gaan we SFTP gebruiken. Voor Dropbox kiezen we Rclone als ‘back-end’ waar Kopia mee kan samenwerken. Diezelfde optie kun je gebruiken voor Google Drive of OneDrive. Belangrijk om te onthouden, is dat de locatie waar je back-ups bewaart repository worden genoemd. De back-ups zelf noemen we snapshots. Qua terminologie zijn er overigens veel overeenkomsten met andere tools, zoals Rclone Restic en BorgBackup.

Kopia ondersteunt talloze soorten opslag, zowel lokaal als in de cloud.

7 Snapshots bij Kopia

Een snapshot is een momentopname van de inhoud van je systeem. Je kunt in een repository meerdere snapshots maken, bijvoorbeeld één voor elke map. Zo’n snapshot is bij Kopia altijd incrementeel. Dat betekent dat bestanden maar één keer worden geüpload. Daarna worden alleen bestanden waarvan de inhoud is gewijzigd geüpload. Het werkt ook heel efficiënt voor grotere bestanden, omdat alleen de gewijzigde delen worden geüpload en dus niet het volledige bestand.

Als je een bestand hernoemt of verplaatst, herkent Kopia zelfs dat het bestand dezelfde inhoud heeft, waardoor het evenmin opnieuw hoeft te worden geüpload. Retentie zorgt dat meerdere versies in de tijd beschikbaar zijn. Kopia ondersteunt ook compressie en de-duplicatie. Compressie helpt om de omvang van de back-up te beperken, waardoor je wellicht wat aan opslagcapaciteit en dus geld kunt besparen. Standaard is compressie uitgeschakeld, maar je kunt deze instelling per snapshot aanpassen. Dankzij de-duplicatie, wat óók standaard is, wordt een bestand waarvan je meerdere kopieën hebt maar één keer in de back-up bewaard. Dit helpt om de benodigde opslagruimte verder te beperken.

Voorbeeld van snapshots die door Kopia zijn gemaakt.

8 Aan de slag met Kopia

Bij Kopia kun je kiezen tussen twee versies: cli en gui (zie kader). Niet iedereen werkt graag met een opdrachtprompt, waardoor we hier met de gui werken, ook wel KopiaUI genoemd. Op de pagina met releases vind je alle installatiebestanden hiervoor. Voor Windows kun je het installatieprogramma downloaden en uitvoeren (KopiaUI-Setup-0.17.0.exe) óf het zip-bestand (KopiaUI-0.17.0-win.zip) downloaden en uitpakken in een map, waarna je in die map KopiaUI.exe start.

Als je het programma start, wordt gevraagd om een eerste repository toe te voegen. We gaan eerst een lokale map als repository gebruiken. Daarna gaan we een repository inrichten bij Hetzner Storage Box en Dropbox (via Rclone). Je kunt binnen Kopia zonder problemen meerdere repository’s toevoegen en apart van elkaar gebruiken.

Via GitHub kun je de verschillende releases voor Kopia downloaden.

9 Lokale back-up

We beginnen met een back-up naar een lokale map. Dit is de eenvoudigste optie. Het kan overigens ook een netwerkschijf zijn die je onder Windows hebt gekoppeld. Kies op het beginscherm de optie Local Directory or NAS. Blader dan naar de map en kies Next. Nu wordt om een sterk wachtwoord gevraagd. Op basis van dat wachtwoord wordt de inhoud van de repository versleuteld. Het is zeer belangrijk dat je dit wachtwoord niet verliest.

Klik op Create Repository om de repository te maken. Je zult zien dat er al direct enkele bestanden worden gemaakt in de bewuste map die we als repository hebben aangewezen. Als voorbeeld gebruiken we de repository voor een back-up van een map met administratie. Je kunt ook snapshots voor andere mappen toevoegen aan dezelfde repository. Verander eventueel de naam van de repository. Ga daarvoor naar Repository, vul een passende naam in, zodat je weet dat dit de lokale map betreft en kies Update Description. Dat is handig als je straks meerdere repository’s hebt.

Als eerste kun je kiezen om wat voor soort repository het gaat.

10 Eerste snapshot maken

We gaan nu een eerste snapshot maken van een map met administratie. Ga daarvoor naar Snapshots en kies New Snapshot. Blader naar de gewenste map. Je kunt nu de beleidsregels aanpassen, ook wel policy’s genoemd. Zo regel je bijvoorbeeld hoe vaak een snapshot moet worden gemaakt, welke bestanden moeten worden uitgesloten, wat het retentiebeleid voor snapshots is en of compressie moet worden gebruikt. Voor nu accepteren we de standaardopties en kiezen Snapshot Now om de eerste snapshot te maken. Een volgende keer is een snapshot veel sneller gemaakt, omdat alleen de veranderingen worden geback-upt.

Via New Snapshot kun je ook voor andere mappen een snapshot maken met eigen beleidsregels die dan in dezelfde repository worden bewaard. Als je door de gemaakte snapshots bladert, kun je onder Start time op de datum en tijd van de snapshot klikken. Hierna zie je de optie Mount as Local Filesysteem. Daarmee koppel je de bewuste snapshot als lokaal bestandssysteem, zodat je door de volledige inhoud kunt bladeren. Gebruik eventueel een programma als WinMerge om eventueel mappen en bestanden met elkaar te vergelijken, waarbij je visueel de verschillen kunt zien.

Je kunt bladeren door gemaakte snapshots en ze als bestandssysteem koppelen.

11 Beleidsregels

We kijken nog in iets meer detail naar de beleidsregels. Je kunt ze aanpassen onder Snapshots, door in de kolom Actions op Policy te klikken. Wil je bijvoorbeeld compressie gebruiken, dan vouw je Compression uit en kies je achter Compression Algorithm voor bijvoorbeeld zstd, gzip of pgzip. Je kunt er ook voor kiezen om alleen bestanden met een bepaalde extensie te comprimeren, of bestandsextensies invullen die helemaal niet gecomprimeerd moeten worden. Onder Scheduling kun je kiezen hoe vaak de snapshot gemaakt moet worden. Omdat alleen veranderingen worden geback-upt, kun je prima een hogere frequentie kiezen, zoals elk uur. Merk op dat als je compressie inschakelt, alleen toekomstige gegevens worden gecomprimeerd. De bestaande gegevens blijven dus niet gecomprimeerd.

Via beleidsregels kun je bijvoorbeeld ervoor kiezen om compressie te gebruiken.

Kopia naar Storage Box

12 Back-up naar Storage Box

Voor een back-up naar Hetzner Storage Box met Kopia gaan we SFTP gebruiken. Dit staat voor Secure File Transfer Protocol. Met het protocol kun je via ssh (Secure Shell) bestanden uitwisselen tussen je systeem met bijvoorbeeld Windows en je opslag in de cloud. Hierbij wordt gebruikgemaakt van een versleutelde verbinding. Merk op dat de gegevens zelf dankzij de end-to-end-encryptie van Kopia natuurlijk al versleuteld zijn, maar extra versleuteling tijdens de overdracht kan natuurlijk nooit kwaad.

We gaan SFTP gebruiken voor toegang tot onze Hetzner Storage Box.

13 Verbinding via ssh

We gaan eerst een verbinding via ssh opzetten met OpenSSH, dat standaard deel uitmaakt van Windows. Open hiervoor een opdrachtprompt. Je kunt nu direct verbinding maken met het sub-account op de ssh-server van je Storage Box. Voor gebruiker u123456 is het eerste sub-account in principe u123456-sub1. Om met dit sub-account in te loggen via ssh geef je dan de volgende opdracht:

Accepteer de verbinding bij een melding over de authenticiteit van de host. Hiermee wordt de host toegevoegd aan het bestand met bekende hosts (known_hosts). Voer ook je wachtwoord in. Als het goed is, ben je hierna verbonden en zit je in je thuismap onder /home.

We testen eerst de verbinding via ssh via de opdrachtprompt.

14 Repository toevoegen

Voeg nu in Kopia een nieuwe repository toe voor de Storage Box via de optie SFTP Server. Hiervoor kun je rechts op het icoontje in de taakbalk klikken en kies je Connect to Another Repository. Vul de host (zoals u123456.your-storagebox.de), de gebruikersnaam van het sub-account (zoals u123456-sub1), het poortnummer 23 en wachtwoord in voor het sub-account. Bij Path vul je /home in. Bij Path to known_hosts File vul je het pad naar known_hosts van Windows in. Dit kun je opzoeken voor jouw gebruikersnaam in Verkenner onder C:\Users.

In de volgende stap kun je, als de verbinding lukt, een wachtwoord instellen voor de repository, net als hiervoor bij de lokale map. Het maken van een snapshot werkt op vergelijkbare wijze. Een back-up van 3,3 GB was met een rappe internetverbinding binnen vier minuten gemaakt en neemt online dankzij compressie ongeveer 2,1 GB in. Een volgende back-up gaat veel sneller, afhankelijk van de hoeveelheid wijzigingen. Je kunt via de WebDAV-koppeling volgen wat er in de map gebeurt.

Configureer de repository met de correcte gegevens van je Storage Box.

Kopia naar Dropbox

15 Back-up naar Dropbox

Kopia ondersteunt een back-up naar bijvoorbeeld Dropbox, Google Drive of OneDrive. Je kunt deze diensten gebruiken via Rclone. Kopia kent wel wat ondersteuning voor Google Drive, maar alleen in de CLI-versie. We beginnen met de installatie van Rclone. Ga daarvoor naar https://rclone.org/downloads/ en download het zip-bestand voor Windows. Pak het zip-bestand uit. Je hebt alleen het uitvoerbare bestand rclone.exe nodig. Je kunt dit naar C:\Windows\System32 kopiëren, zodat je er vanaf elke map toegang toe hebt.

Je kunt Rclone vanaf elke map in je systeem aanroepen.

16 Configuratiebestand maken

Open een opdrachtprompt en geef de opdracht rclone config. Er start een wizard. Kies daarin n voor een nieuwe remote. Vul een naam in, bijvoorbeeld dropbox, googledrive of onedrive. Je ziet nu een lijst met alle ondersteunde opslagdiensten, waar ook Dropbox, Google Drive en Microsoft OneDrive tussen staan. Vul het bijbehorende nummer in. Volg daarna de instructies voor autorisatie. Dit verschilt per opslagdienst.

Voor Dropbox is het eenvoudig. Je kunt zoals door de wizard ook wordt aangegeven de client_id en client_secret leeglaten. De geavanceerde configuratie kun je overslaan. Als je systeem een webbrowser heeft, kun je daarna automatisch autoriseren. In de browser hoef je alleen op Toestaan te klikken. Ga daarna terug naar de wizard. Kies y (yes) om de configuratie te bewaren en q (quit) om de tool te verlaten. Hiermee is de configuratie van Rclone al klaar, en kunnen we verder in Kopia.

Wil je zien hoe de configuratie eruitziet? De locatie van het bestand kun je achterhalen met rclone config file. Overigens is de configuratie van Google Drive iets lastiger. Je kunt eventueel de interne client_id gebruiken, maar is het aan te raden een eigen client_id te maken, voor betere prestaties. Voor de instructies kun je de link volgen die je krijgt te zien als je de stappen van de wizard doorloopt.

Kies de gewenste opslag voor je nieuwe repository, zoals Dropbox.

17 Kopia

In Kopia kun je nu een repository voor je cloudopslag maken via Rclone door de optie Rclone Remote te kiezen. Gebruik de naam die je eerder koos (zoals dropbox) en bedenk in welke map Kopia de bestanden moet gaan bewaren binnen je cloudopslag (bijvoorbeeld /kopia). Achter Rclone Remote Path vul je dan in dit geval simpelweg dropbox:/kopia in. Bij Rclone Executable Path kun je rclone.exe invullen, omdat het uitvoerbare bestand vanuit elke map kan worden aangeroepen. Hierna kun je snapshots gaan maken die in je cloudopslag zullen worden opgeslagen, zoals in dit voorbeeld het Dropbox-account. Merk op dat Rclone naast Dropbox, Google Drive en OneDrive ook andere opslagdiensten ondersteunt, maar die zijn niet allemaal getest in combinatie met Kopia.

De configuratie van Rclone voor Dropbox binnen Kopia is nu heel eenvoudig.

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.