Steeds meer apparaten in huis zijn 'slim' en kun je bedienen met een eigen app. Handig, want zo hoef je niet meer op te staan om je verwarming of verlichting aan te zetten. Echt slim wordt het pas als al je slimme apparatuur ook samenwerkt in één systeem. Hoe maak je één domoticasysteem?

Domotica of huisautomatisering is niet iets van de laatste jaren. Zo was er in de jaren tachtig al veel mogelijk, denk bijvoorbeeld aan het Huis van de toekomst van Chriet Titulaer. Helaas waren domoticasystemen vooral heel erg duur en moest vrijwel alles bedraad worden aangesloten. Hierdoor vereiste zo'n systeem extra leidingen naar bijvoorbeeld lichtpunten, wandschakelaars en alle plekken waar sensoren nodig waren. In kantoorpanden wegen de voordelen doorgaans duidelijk op tegen de prijs (je wilt bijvoorbeeld automatisch in één keer overal het licht uitdoen). Bij de normale consument thuis was daar zeker geen sprake van. Uiteraard zijn er moderne bedrade domoticasystemen zoals KNX. Maar het aanleggen hiervan is nog steeds prijzig en in een bestaand huis onmogelijk zonder grondige renovatie. Lees ook: Automatiseer je huis met een Raspberry Pi 2.

Controle met de smartphone

Om je huis (deels) slimmer te maken is een echt domoticasysteem met een centrale controller niet per se nodig. Veel slimme apparatuur komt met een eigen app en je smartphone of tablet doet in dat geval dienst als centrale bediening. Je gebruikt een app voor je verlichting, een andere app voor je thermostaat en een derde app voor je beveiligingssysteem. Heb je echter een paar slimme apparaten in huis waardoor je meerdere apps moet gebruiken om dingen te regelen, dan kan dat al snel vervelend worden.

Daarnaast zijn sommige koppelingen heel logisch, want een bewegingssensor zou behalve voor beveiligingstoepassingen ook bruikbaar zijn om het licht in een ruimte aan te doen. En 's ochtends wil je misschien dat zowel de verwarming als het licht automatisch aangaan. Deels is integratie tussen slimme producten mogelijk via een omweg als IFTTT, maar wil je dat apparatuur echt geïntegreerd wordt, dan ontkom je niet aan een 'echt' domoticasysteem dat alles met elkaar verbindt.

Draadloos domotica-systeem

Een bedraad domoticasysteem is erg duur en lastig aan te leggen in een bestaand huis. Gelukkig is het ook heel goed mogelijk om te werken met producten die gebruikmaken van draadloze radiotechnologie. Er zijn verschillende standaarden die variëren qua mogelijkheden en prijs, maar allemaal zijn ze eenvoudig in te zetten in een huidig huis. Welk systeem je ook kiest: je moet wel zorgen voor een goed dekkend wifi-netwerk. Dit is niet omdat producten direct gebruikmaken van je draadloze netwerk, want die gebruiken vaak hun eigen draadloze standaard. Maar je wilt wel je systeem overal in je huis willen bedienen, en dat doe je via je smartphone of tablet die wel gebruikmaakt van je draadloze netwerk.

Er zijn trouwens wel slimme producten die direct met jouw wifi-netwerk communiceren. Zo gebruiken Belkins WeMo-stekkerschakelaars wifi en ook veel slimme thermostaten zoals Nest communiceren direct met je draadloze netwerk. De meeste draadloze domoticaproducten zoals stekkerschakelaars, lichtschakelaars, deur- en raamsensoren en bewegingssensoren werken niet via wifi. Er zijn draadloze standaarden met een laag energieverbruik die gebruikmaken van vrije frequentiebanden (433MHz-band, 868MHz-band of de 2,4GHz-band). We zullen de voor domoticatoepassingen belangrijkste draadloze standaarden kort bespreken. We claimen in dit artikel zeker geen compleetheid, naast de besproken standaarden en producten is er nog veel meer verkrijgbaar.

©PXimport

Sommige domotica-producten zoals slimme thermostaten maken direct gebruik van wifi.

IFTTT

IFTTT (If this, then that) is een webdienst die slimme apparaten en webdiensten aan elkaar koppelt om acties te automatiseren. Onder andere de Nest-producten, Philips Hue, Belkins WeMo, Honeywell-thermostaten, Netatmo-producten, de tado Smart Thermostat en de ThermoSmart werken samen met IFTTT. Het concept klinkt misschien wat vaag, maar wordt snel duidelijk als je door de recepten bladert. Zo kun je voor een slimme thermostaat bijvoorbeeld de in te stellen temperatuur koppelen aan de zonsondergang, notificaties ontvangen van statusveranderingen of de in te stellen temperatuur koppelen aan de buitentemperatuur. IFTTT kun je met een beetje fantasie misschien wel beschouwen als een heel simpele API die je in staat stelt om apparaten aan te sturen vanuit andere programma's of apps.

Een nadeel van IFTTT is dat de communicatie 'buitenom' via internet gaat. Dit is bij echt tijdkritieke dingen zoals het verbinden van een lichtsensor aan een lamp doorgaans te langzaam. Een lamp gaat dan pas aan als je allang voorbij de sensor bent of zelfs de ruimte alweer uit bent. Voor minder kritieke acties als thermostaatschakelingen, het aandoen van lampen aan als de zon ondergaat of een lamp laten knipperen als er e-mail is, voldoet IFTTT wel.

©PXimport

Op IFTTT vind je voor diverse slimme producten kanalen met recepten.

Draadloze standaarden

KlikAanKlikUit (433 MHz)

KlikAanKlikUit of KAKU is een populair systeem om verlichting en elektrische apparatuur (via stekkerdozen) draadloos te schakelen. KAKU is onderdeel van Trust en veel producten zijn met dezelfde typenummers onderdeel van het Trust Smart Home-assortiment. KAKU is het bekendst van setjes met een stekkerschakelaar en afstandsbediening, maar is door de relatief lage prijs ook voor domoticasystemen een populaire draadloze technologie. Een belangrijk nadeel van KAKU is dat het eenrichtingsverkeer is zonder terugkoppeling.

©PXimport

Volgens KAKU heb je binnen een bereik van zo'n dertig meter.

Je kunt dus niet zien of een opdracht of schakelactie gelukt is. Anders dan bij Z-Wave of Zigbee dat we verderop behandelen, zijn geen van de componenten repeaters van het signaal. Volgens KAKU is het bereik binnenshuis gemiddeld dertig meter. Er zijn in winkels ook 433MHz-producten van andere merken te koop, het gaat dan voornamelijk om stekkerschakelaars met een afstandsbediening. Het hangt van je domoticacontroller af of je naast KAKU ook andere 433MHz-protocollen kunt gebruiken. Welk protocol er ook gebruikt wordt, het signaal is niet versleuteld en er is altijd de kans dat iemand anders (onbedoeld) een schakelactie op jouw systeem uitvoert.

De huidige KAKU-generatie kent 67 miljoen verschillende codes zodat de kans dat je buren op dezelfde code werken klein is. Oudere setjes werken met dipswitches met een beperkt aantal combinaties. Een nadeel van de 433MHz-band is dat apparatuur elkaar snel stoort. Hierdoor heb je kans dat een signaal niet aankomt omdat de frequentieband bezet is. Bij geprogrammeerde schakelacties via een domoticasysteem kun je als trucje het signaal een paar keer laten versturen.

Z-Wave

Z-Wave is een populaire draadloze standaard die je net als KAKU kunt gebruiken voor onder andere schakelaars, dimmers en sensoren. Z-Wave-producten worden door veel verschillende fabrikanten op de markt gebracht waardoor er veel keuze is. Ze zijn duurder dan KAKU-producten, maar ook beter. Anders dan KAKU, ondersteunt Z-Wave bi-directionele communicatie en encryptie. Dat laatste zorgt uiteraard voor meer veiligheid en hierdoor is het ook onmogelijk dat iemand anders (toevallig) jouw systeem bedient. Door bi-directionele communicatie kan de status van een schakelaar altijd opgevraagd worden.

In Europa maakt Z-Wave gebruik van de 868MHz-band. Let erop dat in andere landen zoals de Verenigde Staten andere frequentiebanden gebruikt worden. Je kunt dus niet zomaar blind Z-Wave-producten op bijvoorbeeld eBay kopen. De nieuwste variant van Z-Wave is Z-Wave Plus. Z-Wave Plus-producten hebben een beter bereik en een lager energieverbruik. Z-Wave en Z-Wave Plus-producten zijn compatibel met elkaar en kun je mixen. De producten vormen onderling een mesh-netwerk (zie kader), waarbij apparatuur onderling met elkaar kan communiceren. Het netwerk zal zelf bepalen wat de handigste route is. Mocht een route plotseling geblokkeerd zijn, dan proberen de modules een andere communicatieroute te vinden. Hoe meer Z-Wave-producten je toevoegt, hoe betrouwbaarder je netwerk wordt. Dit geldt wel alleen voor modules die via netvoeding gevoed worden, batterij-gevoede modules ondersteunen geen meshing.

©PXimport

Mesh-netwerk

Bij normale radiocommunicatie is er een zender en een ontvanger. De ontvanger reageert op signalen van de zender zolang hij binnen bereik is. Het bereik van Z-Wave-signalen is zo'n dertig meter, maar kan geblokkeerd worden door bijvoorbeeld muren en plafonds. Hierdoor kan het lastig zijn om signalen betrouwbaar over te laten komen. Om dit op te lossen, maken Z-Wave en ZigBee gebruik van een mesh-netwerk waarbij iedere module ook werkt als een repeater voor signalen voor andere modules. Dankzij de mesh-structuur, versterkt iedere nieuwe module het netwerk en wordt het netwerk robuuster. Er is echter één maar: alleen een stroomgevoede module (bijvoorbeeld een ingebouwde wandschakelaar, een stopcontactschakelaar of inbouwdimmer) is onderdeel van het mesh-netwerk en kan signalen doorgeven aan andere modules. Voor batterij-gevoede modules (bijvoorbeeld schakelaars of een bewegingssensor) geldt dat niet, omdat anders de batterij heel snel zou leeglopen.

©PXimport

In een mesh-netwerk kunnen modules ook onderlinge verbindingen opzetten om signalen door te geven.

ZigBee

ZigBee is vergelijkbaar met Z-Wave en technisch op sommige vlakken zelfs geavanceerderZigBe. =http://www.zigbee.org/]ZigBee[/urlx] kan gebruikmaken van de 868MHz-band of de snellere 2,4GHz-band. Net als Z-Wave vormt ook ZigBee een mesh-netwerk. In de praktijk is ZigBee minder populair dan Z-Wave. Er zijn nauwelijks ZigBee-producten als schakelaars, stekkerschakelaars en sensors te koop. De standaard wordt wel gebruikt door fabrikanten voor complete oplossingen. Zo gebruiken Philips en Osram ZigBee als basis voor hun slimme verlichting. Heb je een domoticasysteem dat voorzien is van een ZigBee-radio, verwacht dan niet dat je bijvoorbeeld Hue-lampen direct kunt koppelen. ZigBee kent verschillende profielen, waaronder ZigBee Home Automation, ZigBee Light Link en ZigBee Building Automation.

Slimme verlichting gebruikt doorgaans ZigBee Light Link terwijl andere systemen doorgaans ZigBee Home Automation gebruiken. Hoewel er bij alle profielen gebruik wordt gemaakt van ZigBee en doorgaans de 2,4GHz-band gebruikt wordt, zijn deze profielen niet compatibel met elkaar. De wirwar aan profielen wordt in de komende Zigbee 3.0-specificatie opgelost waarbij alleen nog de 2,4GHz-band gebruikt wordt. Huidige ZigBee Light Link- en ZigBee Home Automation-producten worden compatibel met ZigBee 3.0. Dus wellicht dat de nadelen van ZigBee in de (nabije) toekomst voorbij zijn en het een serieuze tegenhanger van Z-Wave wordt.

©PXimport

ZigBee wordt vooralsnog vooral door fabrikanten gebruikt in complete producten, bijvoorbeeld door Philips voor de slimme verlichting Hue.

Google Weave

Het is sinds de overname van Nest Labs geen geheim dat ook Google aspiraties heeft op smarthome-gebied. Nest Labs is tegenwoordig net als Google een dochterbedrijf van Alphabet en geen onderdeel van Google meer. Toch wordt er op domoticagebied nog volop samengewerkt. Zo hebben zowel Nest als Google een framework dat ze Weave noemen, waarmee slimme apparatuur met elkaar kan communiceren. Weave werkt over wifi of de radiostandaard Thread, waarvan Nest één van de oprichters is.

Thread maakt gebruik van dezelfde radiohardware als ZigBee, maar gebruikt IPv6 als communicatielaag om ieder domotica-apparaat en Internet of Things-apparaat direct bereikbaar te maken. 'Toevalligerwijs' bevatten Googles nieuwe OnHub-routers een Thread-radio en ondersteunen de routers uiteraard ook Weave. Naast Nest, Samsung en de andere oprichters heeft de Thread Group inmiddels nog veel meer bedrijven aan zich verbonden. De kans is dan ook zeker aanwezig dat Thread - eventueel in combinatie met Weave - in 2016 gaat uitgroeien tot een bredere standaard.

©PXimport

Googles OnHub-routers zijn voorzien van Thread.

Apple HomeKit

Ook Apple probeert met HomeKit zijn stempel op het slimme huis te drukken. HomeKit is geen draadloze communicatietechnologie, maar net als Googles Weave een framework waarmee slimme apparatuur kan communiceren met iOS en Siri. Hierdoor kun je apparatuur integreren in één app en je slimme apparatuur aansturen met je stem via Siri. Vreemd is wel dat er op iOS geen HomeKit-app is ingebouwd, het platform vertrouwt volledig op apps van derde ontwikkelaars. HomeKit werkt met op het thuisnetwerk aangesloten apparatuur of direct via bluetooth.

Via bluetooth is in beginsel niet heel handig, omdat je HomeKit-apparatuur dan snel buiten bereik komt. Je kunt HomeKit-apparatuur standard niet vanaf buiten je huis bereiken, dat kan eventueel weer wel door een Apple TV te kopen. Die functioneert dan als HomeKit-bridge. Een ander nadeel van HomeKit is dat apparatuur een speciale chip moet bevatten, zo is er voor het Philips Hue-systeem een nieuwe bridge nodig die compatibel is met HomeKit. Verder is er op het moment van schrijven nog vrijwel geen andere HomeKit-apparatuur te koop. In Duitsland is al wel HomeKit-apparatuur van Elgato beschikbaar onder de productnaam Eve. Voorlopig lijkt HomeKit dus nog niet zo'n succes te zijn.

Bediening van je systeem

Controllers

Draadloze standaarden en protocollen zijn één ding, je wilt uiteraard ook al je producten zoals schakelaars, stekkerschakelaars, sensoren, lampen en thermostaat met elkaar verbinden en bedienen met je smartphone. Hier heb je een centrale domoticacontroller voor nodig. Een controller bevat een webinterface of apps waarmee je dingen kunt instellen en bedienen. Voor de communicatie met je apparatuur bevat een controller een netwerkaansluiting en één of meerdere radio's die het platform geschikt maken voor bijvoorbeeld Z-Wave, KAKU, ZigBee en bluetooth. Producten met een eigen bridge of hub zijn via een API vaak ook aan een controller te koppelen. Bekende controllers zijn de HomeWizard, Zipato ZipaBox, Fibaro en VeraEdge.

Ook KlikAanKlikUit/Trust maakt zijn eigen controllers. Uiteraard staan de ontwikkelingen niet stil, een interessante controller die binnenkort op de markt komt is de Nederlandse Homey die maar liefst zeven draadloze technologieën ondersteunt en ook werkt met spraakbesturing. Dergelijke kant- en-klare controllers kosten zo'n 200 tot 500 euro en bevatten één of meerdere radio's om met draadloze domoticaproducten te communiceren.

©PXimport

Een domoticacontroller zoals de Homey die binnenkort op de markt komt, zorgt voor een centrale aansturing van je systeem.

Zelfbouwcontroller

Je kunt ook kiezen voor een zelfbouwcontroller. Een toegankelijk opensource-pakket is Domoticz, dat je kunt installeren op een RaspBerry Pi. Uiteraard bevat je pc of Raspberry Pi geen radio's voor KAKU of Z-Wave, maar die kun je via usb eenvoudig toevoegen. Voor het gebruik van KAKU en andere 433MHz-producten is de RFXCom RFXtrx433E een goede radio. Z-Wave kun je op de Raspberry Pi aan de praat krijgen met een RaZberry-dochterbordje of via een usb-stick als de Aeotec Z-Stick Series 2. Je kunt uiteraard zelf kiezen of je KAKU, Z-Wave of allebei toevoegt aan Domoticz.

Naast direct draadloos aanstuurbare producten kun je ook apparatuur met een eigen API zoals Philips Hue of Google Nest integreren. Welke controller je ook kiest, doorgaans is het mogelijk om regels te maken via IFTTT-achtige schema's, zodat je precies kunt bepalen wat er wanneer en waarom moet gebeuren. Je kunt zo bijvoorbeeld programmeren dat een bewegingssensor een lamp alleen inschakelt als het ook daadwerkelijk donker is.

Opdrachten geven en ontvangen

Een controller kan dankzij API's via het netwerk communiceren met producten als Philips Hue, je slimme thermostaat en een streaming-audiosysteem. Je wilt je domoticasysteem natuurlijk ook gebruiken om andere producten slim te maken. Dat kan dankzij de ingebouwde radio's voor bijvoorbeeld KAKU of Z-Wave. Het simpelst toe te passen zijn stekkerschakelaars. Dit zijn blokken die je aansluit tussen het stopcontact en bijvoorbeeld een staande lamp of een ander elektrisch apparaat dat je draadloos wilt in- of uitschakelen. In het geval van Z-Wave kunnen stekkerschakelaars vaak ook het energieverbruik van de aangesloten apparatuur meten. Bij KAKU is dat niet mogelijk. Een soortgelijke oplossing als de stekkerschakelaar voor plafondlampen is de fittingschakelaar die je tussen het armatuur en de lamp draait. Zo kun je ook plafondlampen eenvoudig draadloos schakelen.

Schakelaars

Je domoticasysteem kun je natuurlijk bedienen met een app, maar in de praktijk is dat zeker voor verlichting niet altijd handig. Wandschakelaars of een afstandsbediening zijn daarom handige toevoegingen. Bij KAKU kun je de in een schakelsetje meegeleverde afstandsbediening gebruiken om commando's door te geven aan je domoticasysteem en ook voor Z-Wave zijn afstandsbedieningen te koop. Voor slimme wandschakelaars heb je de keuze uit schakel- of dimmermodules die je verwerkt achter je normale wandschakelaars of losse batterij-gevoede schakelaars. Die laatste zijn eenvoudiger te installeren.

Omdat de KAKU- of Z-Wave-schakelaar of afstandsbediening verbonden is met je domoticasysteem, kan meer geschakeld worden dan lampen. Je kunt ook andere opdrachten geven. Je kunt schakelaars voor de ene standaard ook mixen met een andere standaard. Zo is het is geen probleem om KAKU- of Z-Wave-schakelaars en -sensoren te koppelen met Philips Hue-lampen. Overigens verkoopt Philips ook eigen wandschakelaars. In tegenstelling tot schakelaars voor KAKU of Z-Wave kun je die niet gebruiken voor andere zaken. Philips-schakelaars communiceren alleen direct met de Hue Bridge en zijn hierdoor alleen in te zetten voor Hue-verlichting.

Een laatste belangrijke module om je huis te automatiseren, is een sensor die verkrijgbaar is als bewegingssensor en deur/raam-contact. Deze sensor kun je inzetten voor beveiligingstoepassingen, maar ook om lampen of andere apparatuur automatisch aan of uit te laten gaan zodra je binnenkomt of weggaat. Er is nog veel meer mogelijk, denk aan deurbellen, sirenes, weerstations en rookmelders.

©PXimport

Dankzij wandschakelaars en afstandsbedieningen heb je niet constant je smartphone nodig.

Uitdaging bij inbouwschakelaars

Je kunt zowel voor KAKU als Z-Wave achter je lichtschakelaars modules plaatsen waarmee je een lamp zowel met de schakelaar als met je domotica-systeem en app kunt bedienen. Omdat er op een inbouwschakelaar altijd spanning moet staan (anders worden de radiosignalen immers niet ontvangen), moet er in een inbouwdoos achter de lichtschakelaar een blauwe draad (nuldraad) aanwezig zijn.

Doorgaans bevat een installatiedoos voor een wandschakelaar alleen een bruine fasedraad en een zwarte schakeldraad die naar de lamp loopt. Er zal dan een blauwe nuldraad aangelegd moeten worden. Een combinatie van schakelaar en stopcontact bevat uiteraard wel een nuldraad. Bij inbouwdimmers is de nuldraad meestal niet nodig omdat een dimmer nooit helemaal het contact verbreekt. Het nadeel van een dimmer is dat er soms problemen zijn met led-verlichting die op de uit-stand blijft branden. Lees dus voor de aanschaf van inbouwmodules goed de installatiehandleiding. Een extra uitdaging is dat je in de knoei kunt komen als je inbouwdozen hebt van 4 centimeter diep, er is dan niet genoeg ruimte om de module weg te werken achter de schakelaar.

Eén systeem

Nog maar het begin

De uitdaging waar jij en fabrikanten voor staan, is het integreren van allerlei losstaande slimme producten tot één geïntegreerd systeem. Alleen zo kun je je huis echt handig en slim programmeren. Ook ben je dankzij een centraal domotica-systeem dat met meerdere draadloze standaarden en producten om kan gaan, flexibel in het product dat je voor een bepaald probleem kiest. Een buitenlamp kun je bijvoorbeeld best schakelen via een KAKU-module, terwijl je voor iets wat punctueler moet zijn, liever Z-Wave gebruikt. Je kunt ook de standaarden combineren: voor je verlichting kies je Hue dat je prima kunt schakelen met schakelaars voor KlikAanKlikUit of Z-Wave.

Met de populariteit van Z-Wave ten opzichte van bijvoorbeeld ZigBee lijkt het erop dat Z-Wave dé standaard is, maar schijn bedriegt. De 'oorlog' is zeker nog niet voorbij, het is meer een eerste strijd die gewonnen is. Naast ZigBee 3.0 dat een einde aan de huidige ZigBee-verwarring maakt, kan ook Googles Thread een belangrijke uitdager worden. Net als nu, kunnen toekomstige controllers waarschijnlijk overweg met meerdere draadloze standaarden, waardoor reeds aangeschafte modules als schakelaars, sensoren of stopcontactschakelaars niet in één keer waardeloos worden. Je moet je kortom beseffen dat we echt aan het begin van deze nieuwe domoticagolf staan en er qua toekomstvastheid helaas geen heel harde adviezen bestaan.

API

Koop je een losstaand slim product zoals een thermostaat, dan is het handig om te achterhalen of het product een API heeft. Via een API, dat staat voor Application Programming Interface, kan een programma of app van een derde communiceren met het product. Een voorbeeld van een product met een toegankelijke API is de Philips Hue-verlichting. Dit systeem hangt met een eigen bridge in het netwerk.

Dankzij de uitgebreide API zijn de slimme lampen ook prima via andere software, apps of systemen aan te sturen. Een app, programma of domotica-oplossing stuurt dankzij de API via het netwerk commando's naar de Hue-lampen. Een API is in eerste instantie bedoeld voor programmeurs of slimme knutselaars. Ook al ben je zelf geen programmeur en ben je niet van plan om zelf niets met een API te doen, dan is de aanwezigheid ervan bij twee gelijksoortige producten wat ons betreft wel een belangrijke reden om voor het product met API te kiezen. Dankzij de API ligt een (toekomstige) koppeling van jouw product met een echt domoticasysteem veel meer voor de hand en heb je bovendien veel meer kans op beschikbare apps van derde ontwikkelaars.

©PXimport

De Philips Hue-bridge die de lampen aanstuurt, is voorzien van een API waarmee Hue eenvoudig in andere systemen, programma's of apps te integreren is.

Je inloggegevens alleen met een wachtwoord beveiligen is vragen om problemen. Steeds meer diensten en apps bieden daarom tweefactorauthenticatie (2FA) aan, of ze verplichten dit zelfs. Naast een wachtwoord heb je dan een tweede factor nodig. Vaak gebruik je hiervoor je smartphone, maar wat doe je als je (tijdelijk) geen telefoon hebt?

Wachtwoorden kun je vergeten, of ze worden gehackt. Daarom is het niet handig om de toegang tot een dienst of app alleen met een wachtwoord te beveiligen. Voor meer veiligheid voeg je daar een tweede authenticatiemethode aan toe. We hebben het over het aanmelden via 2FA (tweefactorauthenticatie oftewel tweestapsverificatie).

Bij 2FA heb je naast iets wat je weet, meestal een wachtwoord, ook iets wat je 'hebt' of 'bent' nodig om in te loggen. Zo'n tweede factor is vaak een unieke, eenmalige code via een authenticator-app op je smartphone. Het kan ook een sms-code, pushmelding, hardwaresleutel of een biometrische beveiliging zijn. Zo kan een aanvaller met je wachtwoord niet binnendringen, want hij heeft ook die tweede factor nodig. Een geraden of gelekt wachtwoord is dus niet meer voldoende, wat de veiligheid verhoogt.

Smartphone

Veel 2FA-oplossingen werken via een smartphone, bijvoorbeeld met de authenticator-app van Authy, Google of Microsoft, of via sms-berichten naar je telefoon. Dit is handig, maar er zijn ook nadelen. Je hebt altijd je telefoon nodig en bij een lege batterij, verlies of diefstal kom je mogelijk niet bij je accounts. Ook al je je in een gebied zonder mobiel bereik bevindt, is het lastig of onmogelijk om een sms te ontvangen.

2FA via sms is bovendien kwetsbaar voor praktijken als sim-swapping. Hierbij zet een aanvaller jouw telefoonnummer om naar een eigen simkaart om zo sms-codes te ontvangen. Je smartphone kan ook besmet raken (via phishing) met malware. Ook daarmee kan een aanvaller andere 2FA-codes onderscheppen.

Het kan ook zijn dat je geen smartphone voor je werk hebt en dat je je privételefoon liever niet gebruikt voor werkgerelateerde 2FA-authenticaties. Je kunt er natuurlijk ook nog bewust voor kiezen om geen eigen smartphone te hebben.

Gelukkig bestaan er veilige alternatieven om je ook zonder smartphone via 2FA aan te kunnen melden, zoals de rest van dit artikel duidelijk maakt.

Lees ook: Waarom je beter geen sms voor tweestapsverificatie kunt gebruiken

Desktop-authenticator

Veel mensen gebruiken als tweede factor een eenmalige code via een authenticator-app. Daarvoor bestaan verschillende gratis mobiele apps, maar je kunt ook je desktop of laptop inzetten. Je hoeft geen virtuele Android-omgeving op te zetten met een tool als BlueStacks om zo bijvoorbeeld de mobiele Android-authenticator van Google of Microsoft te kunnen draaien. Installeer gewoon de desktopversies, zoals het Zwitserse Proton of het Zweedse Yubico.

We vertellen je in het kort hoe je hiermee bij Google aanmeldt. De procedure bij andere diensten en apps gaat op een vergelijkbare manier. Surf naar https://myaccount.google.com en open Beveiliging. Kies Tweestapsverificatie en zorg dat deze is ingeschakeld. Klik bij tweede stap op Authenticator en daarna op Authenticator instellen. Er verschijnt een QR-code, maar voor je desktop-app klik je op Kun je de code niet scannen. Je krijgt nu de nodige gegevens om de geheime sleutel (zie kader Werking digitale token) handmatig in te voeren.

Als je dit in je authenticator-app hebt ingesteld (zie de alineaProton Authenticator), klik je op Volgende en voer je de code in die de app genereert. Je kunt nu definitief tweestapsverificatie bij Google aanzetten. Bij de volgende aanmeldingen voer je nu voortaan naast je wachtwoord ook de gevraagde code in.

Proton Authenticator

We nemen Proton Authenticator voor Windows als voorbeeld (ook beschikbaar voor macOS en Linux). De installatie bedraagt slechts enkele muisklikken. Start daarna de app start op en klik op Create new code. Vul bij Title bijvoorbeeld Google account in en plak de sleutel van 32 tekens in het veld Secret.

Bij Issuer kun je Google opgeven. Via Advanced options pas je eventueel instellingen aan als de dienst specifieke eisen heeft voor het aantal cijfers (standaard 6), tijdsinterval (standaard 30 seconden), algoritme (standaard SHA1) of type (standaard TOTP, maar kies STEAM voor het Steam-gameplatform van Valve). Klik op Save code om de code toe te voegen.

Via het tandwielpictogram kun je onder meer je codes back-uppen, exporteren, importeren en ook synchroniseren tussen apparaten via een gratis Proton-account. Na het aanmaken verschijnt de code in het hoofdvenster, met een geanimeerd pictogram dat de resterende geldigheidsduur toont. Je hoeft deze code nu maar bij de juiste dienst in te vullen als tweede factor, naast je wachtwoord.

©TvD | ID.nl

TOTP-wachtwoordmanager

Wachtwoorden zijn vooralsnog niet verdwenen (zie ook kader Zonder wachtwoord) en daarom is een wachtwoordmanager aan te raden. Zo hoef je al je wachtwoorden niet zelf te onthouden, voorkom je dat je ze achteloos noteert en vermijd je te veel dezelfde of simpele varianten.

Enkele wachtwoordmanagers ondersteunen ook TOTP-codes voor 2FA, zodat je geen aparte authenticator-app nodig hebt. Gratis opties voor Windows-desktop zijn onder meer Bitwarden en KeePassXC.

We nemen KeePassXC als voorbeeld, dat ook voor macOS en Linux beschikbaar is. Je installeert de tool met enkele muisklikken. Bij de eerste start klik je op Database aanmaken, voer je een naam en eventueel een omschrijving in. Klik daarna op Doorgaan. Laat de instellingen gerust ongewijzigd en klik op Doorgaan. Geef een sterk hoofdwachtwoord in (twee keer) en bevestig met Gereed. Kies een locatie voor de database en klik op Opslaan.

Voer in het hoofdvenster de accountgegevens in, zoals Titel, Gebruikersnaam, Wachtwoord en URL, en bevestig met OK. Het item wordt toegevoegd. Klik er met de rechtermuisknop op, kies TOTP / TOTP instellen en vul de Geheime sleutel in. Pas via Aangepaste instellingen eventueel de parameters aan en bevestig met OK. Om de TOTP-code te zien, kies je TOTP / TOTP (QR code) weergeven in het contextmenu.

Je kunt ook de KeePassXC-browserextensie downloaden en installeren om je online wachtwoorden en TOTP-codes automatisch in de browser in te vullen.

Hardwaresleutel

In plaats van een digitale sleutel kun je ook een fysieke hardwaresleutel gebruiken als tweede factor. Zo'n sleutel is extra veilig omdat deze via internet niet kan worden gekopieerd of gestolen. Ook phishers maken nauwelijks kans, want de sleutel is gekoppeld aan de originele website-url van de dienst. Zelfs als iemand je sleutel heeft, blijft je wachtwoord nodig en vaak ook een pincode of biometrie om de sleutel te gebruiken. Bij verlies rest meestal alleen een alternatieve tweede factor, zoals een TOTP-code of back-upcodes (zie hieronder), tenzij je een reservesleutel hebt.

We nemen als voorbeeld een YubiKey 5 NFC USB-A van Yubico (circa 60 euro). Dit kan ook een ander merk of type zijn, zoals Feitian, Nitrokey of SoloKeys. Ga in Windows 11 naar Instellingen, kies Accounts / Aanmeldingsopties en selecteer Beveiligingssleutel / Beheren. Plaats de sleutel in de pc en activeer deze. Klik op Toevoegen bij Pincode voor beveiligingssleutel. Je kunt ook de Yubico Authenticator downloaden die ook beschikbaar is voor macOS en Linux. Ga door met installeren en start als administrator op. Open nu Passkeys, klik op Set PIN, voer tweemaal een pincode in en klik op Save.

We nemen opnieuw Google als voorbeeld, waar je inmiddels tweestapsverificatie hebt ingeschakeld. Op de webpagina van je Google-account open je Beveiliging en klik je op Toegangssleutels en beveiligingssleutels. Kies + Toegangssleutel maken, klik op Ander apparaat gebruiken, selecteer Beveiligingssleutel en klik op Volgende en daarna op OK (twee keer). Voer de pincode van de sleutel in, bevestig met OK en activeer de sleutel. Deze is nu bruikbaar als tweede factor.

Back-upcodes

We hebben nu al twee methoden om ons via een desktop-pc of laptop bij 2FA aan te melden: digitale TOTP-codes en een hardwaresleutel. Heb je ook een toegangssleutel, bijvoorbeeld gekoppeld aan je Windows Hello-inlogmethode, dan zijn het er zelfs drie opties. Al is dit eigenlijk geen klassieke 2FA maar een methode zonder wachtwoord (zie kader Zonder wachtwoord).

De meeste diensten die 2FA ondersteunen, bieden ook back-upcodes aan, hoewel deze eigenlijk bedoeld zijn als noodingreep. We raden je in elk geval aan deze te genereren of te downloaden en offline te bewaren, bijvoorbeeld in een kluis of andere water- en brandveilige plek. Laat ze zeker niet rondslingeren en deel ze nooit digitaal.

Voor je Google-account bijvoorbeeld werkt dit als volgt. Meld je opnieuw aan op je accountpagina, open Beveiliging, scrol naar beneden en klik op Back-upcodes en daarna op Back-upcodes genereren. Google maakt direct tien codes aan die je kunt downloaden en/of afdrukken. Dit is meestal voldoende om problematische aanmeldingen op te lossen. Je kunt op elk moment weer tien nieuwe codes aanmaken, waarmee de vorige tien codes automatisch ongeldig worden.

Je kent het wel: je wil iets online bestellen of even het saldo op je rekening checken. En dan komt het: je moet inloggen. Maar, wat was ook al weer het wachtwoord? De geboortedatum van je partner, de laatste twee cijfers van je postcode in combinatie met je lengte? Voor je het weet druk je weer op de knop 'Wachtwoord vergeten'... Dat kan makkelijker.

Partnerbijdrage - in samenwerking met Bitdefender

Ons brein is er niet voor gemaakt om voor vijftig verschillende sites unieke codes te onthouden. En juist daarom zijn wachtwoordmanagers de laatste jaren zo populair geworden. In dit artikel kijken we eens goed naar de oplossing van Bitdefender. Ze zijn wereldberoemd om hun antivirus, maar kunnen ze ook zorgen dat jij nooit meer buitengesloten wordt bij je eigen accounts?

Waarom een wachtwoordmanager?

Laten we eerlijk zijn, de meeste mensen gebruiken nog steeds overal hetzelfde wachtwoord, of een kleine variatie daarop. Of ze schrijven het ergens op. Dat voelt misschien wel veilig, tot je beseft hoe lek het internet soms kan zijn of dat je net dat boekje kwijtraakt.

Met een wachtwoordmanager zoals Bitdefender SecurePass password manager los je dat probleem voor een groot deel op. Die fungeert als een onzichtbare butler die je helpt met de wachtwoorden invullen, ook al is het misschien lastig of spannend om alles zomaar uit handen te geven. Je installeert de software op je eigen computer en je telefoon, en je bedenkt één heel sterk hoofdwachtwoord. Dat is de enige die je nog hoeft te onthouden.

Zodra je die invoert, gaat de kluis open en regelt Bitdefender de rest. Als je dan naar Facebook of je favoriete webshop gaat, ziet het programma dat je wil inloggen en vult het de velden voor je in. Je hoeft niet meer te typen, niet meer te denken en vooral niet meer te stressen. Het mooie is dat het programma je ook meteen helpt bij het aanmaken van wachtwoorden voor nieuwe accounts. In plaats van dat jij weer moet gaan nadenken over een code met een uitroepteken en een cijfer, genereert de software gewoon een onmogelijk te kraken reeks tekens uit en slaat deze direct op. En jij ziet het wachtwoord niet eens, en dat hoeft ook niet, want de software onthoudt het voor je.

En ben je bang dat je misschien ook het hoofdwachtwoord niet meer weet? SecurePass genereert ook nog een digitale herstelsleutel die je in het allerergste geval dan kunt inzetten om in te loggen. Die herstelsleutel bewaar je bij voorkeur op een andere plek dan je smartphone of computer, of print je uit en sla je op in een kluis.

Lokaal opgeslagen: veilig!

Het blijft een raar idee: al je wachtwoorden bij één bedrijf parkeren. Wat als zij gehackt worden? Dan ligt alles op straat, toch? Nou, gelukkig zit dat bij Bitdefender wel goed in elkaar. De versleuteling van je wachtwoorden gebeurt namelijk lokaal op jouw eigen apparaat, nog voordat het via het internet naar hun servers wordt gestuurd. Jouw hoofdwachtwoord is de sleutel die die versleuteling ongedaan maakt. Omdat Bitdefender jouw hoofdwachtwoord niet heeft (en ook nergens opslaat), kan niemand bij jouw gegevens; ook niet in geval van een lek of hack.

Maar omdat Bitdefender jouw wachtwoord nergens hebben opgeslagen, niet hebben, kunnen ze je ook niet helpen als je het vergeet. Er is geen "wachtwoord vergeten" optie voor je hoofdwachtwoord. Je krijgt bij het installeren alleen die speciale herstelcode. Die moet je echt uitprinten of op een veilige plek bewaren, want als je je hoofdwachtwoord kwijt bent én die herstelcode, dan ben je echt de pineut en kom je je kluis nooit meer in.

Hoe werkt het in de praktijk?

Bitdefender SecurePass installeer je als app op een Android- of iOS-toestel, en is beschikbaar als browser-add-on voor de Windows- en MacOS-versies van Chrome, Edge, Firefox en Safari.

Veiligheid is leuk, maar als de software lastig is in gebruik, gooi je het er na een week weer vanaf. Gelukkig heeft Bitdefender goed gekeken naar hoe mensen surfen en software gebruiken. De interface oogt fris voor zowel de browser-extensie als de app op je telefoon. Wat vooral fijn is, is de synchronisatie. We leven in een tijd waarin je 's ochtends op je telefoon zit, overdag op een laptop werkt en 's avonds misschien met een tablet op de bank hangt. Als je op je laptop een nieuw wachtwoord aanmaakt voor Netflix, wil je niet op je telefoon die hele rits tekens moeten overtypen.

Je hebt daardoor toegang tot alle accounts zonder dat je overal moet nadenken over wat de gebruikersnaam of het wachtwoord ook echt precies was: makkelijk en handig dus!

Het meeste werk gebeurt via een extensie in je browser (via het icoontje rechtsboven in de browser) of via de app op je telefoon. Bitdefender synchroniseert dit razendsnel. Zodra je iets opslaat op het ene apparaat, is het vrijwel meteen beschikbaar op het andere. Daarnaast doet het meer dan alleen wachtwoorden. Je kunt er ook notities in kwijt die niemand mag zien

Ook is het handig dat je een of meerdere betaalkaarten en creditcards kunt toevoegen. Iedere keer dat je op een betaalpagina komt, laat Bitdefender je een scherm zien waarop je kunt aangeven welke opgeslagen creditcard je wil gebruiken. Na de selectie vult Bitdefender automatisch alle creditcardgegevens in en kun je de bestelling afmaken.

Gebruik je slechte of makkelijk te raden wachtwoorden, dan is er een beveiligingsscan die ten eerst kijkt of je geen zwakke wachtwoorden hebt gebruikt, maar ook op het dark web op de achtergrond scant naar gelekte gegevens. Je krijgt dan direct de tip om je wachtwoord direct aan te passen.

Tot slot

Als we alles op een rijtje zetten, is Bitdefender SecurePass een goede keuzae als je geen zin hebt in een lastig te beheren omgeving . Voor de gemiddelde gebruiker is dit precies wat je zoekt. Het doet wat het moet doen: het beveiligt je gegevens muurvast en haalt de frustratie van het inloggen weg. Vooral als je al gebruikmaakt van de antivirus van Bitdefender, is dit een logische toevoeging die naadloos in je bestaande pakket past. Het is misschien even wennen om de controle uit handen te geven, maar als je eenmaal gewend bent aan het feit dat je nooit meer een wachtwoord hoeft te onthouden, wil je nooit meer terug.