Wie wat meer aandacht voor veiligheid heeft, slaat zijn encryptiesleutels en wachtwoorden niet op zijn pc op en maakt gebruik van tweefactorauthenticatie. De Nitrokey Pro 2 maakt dit mogelijk door de sleutels in hardware op te slaan. We legden deze kleine cryptostick op de pijnbank, en kunnen ondertussen niet meer zonder. Je leest erover in deze Nitrokey Pro 2 review.

Er zijn drie vormen van authenticatie die doorgaans zonder speciale hardware werken: wachtwoorden, encryptiesleutels en tweefactorauthenticatie met een ‘one-time password’. De eenvoudigste manier om hiermee te werken is respectievelijk je wachtwoord zelf onthouden, je encryptiesleutel op je pc opslaan (in het ideale geval is die sleutel zelf versleuteld via een wachtwoord) en een app voor tweefactorauthenticatie gebruiken zoals Google Authenticator of Authy.

Deze drie manieren hebben echter hun zwakheden. Mensen zijn notoir slecht in het onthouden van sterke wachtwoorden. Encryptiesleutels die op een pc opgeslagen zijn, vormen een risico omdat je niet alle software op je pc kunt vertrouwen. En je smartphone als tweede factor gebruiken is om dezelfde reden een risico omdat je niet alle apps op je smartphone kunt vertrouwen.

De Nitrokey Pro 2 van het Duitse bedrijf Nitrokey biedt een oplossing voor al deze zwakheden: je slaat je sleutelparen voor rsa of ecc en sleutels om eenmalige wachtwoorden te genereren in het kleine usb-stickje op en daar komen ze op geen enkel moment uit. Het genereren van geheime sleutels en alle rekenwerk ermee gebeurt in de Nitrokey zelf. Ook wachtwoorden kun je erin opslaan, zodat die niet de hele tijd op je pc staan.

Het apparaatje is met een pincode beveiligd en is ook beschermd tegen brute-force aanvallen. Niet alleen de software, maar ook de firmware en (een groot deel van) de hardware zijn opensource. Een van de versies van de Nitrokey heeft ook een onafhankelijk beveiligingsassessment doorstaan. Wij hebben de Nitrokey Pro 2 (49 euro) getest, maar er zijn ook nog andere modellen, bijvoorbeeld met versleutelde opslag erbij of met alleen ondersteuning voor FIDO U2F.

Aan de slag met Nitrokey 2 Pro

Wij gingen met de Nitrokey Pro 2 aan de slag op de mei 2019-update van Windows 10 en op Ubuntu 19.04. Het project biedt downloads aan van de Nitrokey App, ook voor macOS. Wij downloadden versie 1.4 van de GitHub-pagina met releases. Je hoeft het programma niet te installeren, je kunt het gewoon zo uitvoeren.

Als je het programma start en dan de Nitrokey in een usb-poort van je pc steekt, wordt die automatisch herkend als smartcard. Het eerste wat je dient te doen, is in Nitrokey App de standaard User PIN (123456) en Admin PIN (12345678) wijzigen. Dat doe je in het menu Configure. De User PIN dient minstens 6 cijfers lang te zijn (maximum 20) en de Admin PIN minstens 8 cijfers (eveneens maximum 20).

©PXimport

We staan even stil bij die pincodes, omdat die cruciaal zijn voor de beveiliging van je Nitrokey. Met de User PIN ontgrendel je de Nitrokey. Daarna krijg je toegang tot je wachtwoorden, onderteken en versleutel je data en vraag je eenmalige wachtwoorden op, de dagelijkse taken zeg maar. De Admin PIN heb je nodig voor beheertaken, zoals sleutels genereren of inladen.

Als je drie keer de verkeerde User PIN intypt, wordt de interne smartcard van de Nitrokey geblokkeerd. Je kunt dan alleen een nieuwe pincode kiezen door de Admin PIN in te typen. En als de Admin PIN drie keer verkeerd intypt, wordt de smartcard onklaar gemaakt: je Nitrokey is dan onbruikbaar en de erin opgeslagen sleutels zijn onbereikbaar.

Wachtwoordkluis

In het hoofdvenster van Nitrokey App krijg je toegang tot de wachtwoordkluis met een klik op Unlock Password Safe. Je dient daarvoor je User PIN in te typen. Daaronder vind je in het hoofdvenster overigens Lock Device, waarmee je de toegang weer intrekt.

In het tabblad Password Safe kun je nu bij Slot voor een van de zestien wachtwoordslots kiezen. Dit is voor velen te weinig om als wachtwoordkluis van al hun wachtwoorden te dienen, maar het is voldoende voor je kritieke wachtwoorden, bijvoorbeeld van je e-mail, je account bij PayPal of bij een cryptobeurs. Voor de rest kun je dan een softwaregebaseerde wachtwoordkluis gebruiken, zoals KeePass of Bitwarden.

Je geeft het slot dan een naam en vult een login en wachtwoord in. De naam kan maximum 11 tekens lang zijn, de login maximum 32 tekens en het wachtwoord maximum 20 tekens. Je kunt Nitrokey App ook een willekeurig wachtwoord laten genereren.

Er is helaas niet voorzien in browserintegratie. Je dient zelf Nitrokey App te openen, het juiste account in Menu / Passwords te selecteren en op het gewenste account te klikken. Nitrokey App kopieert het wachtwoord dan naar het klembord, zodat je het in de website kunt plakken. Na een minuut wordt het wachtwoord uit het klembord verwijderd.

©PXimport

Tweefactorauthenticatie

Naast een kleine wachtwoordkluis biedt de Nitrokey ook plaats aan 15 totp-slots en 3 hotp-slots. Dat zijn de algoritmes voor eenmalige wachtwoorden die in veel systemen voor tweefactorauthenticatie toegepast worden. Totp (Time-based One-time Passwords) is de techniek achter de meeste bekende implementaties van tweefactorauthenticatie, bijvoorbeeld bij Google, Twitter, Facebook, Dropbox, Microsoft en Nextcloud. Kijk op deze 2FA List of je favoriete website erbij staat. Voor de meeste mensen zijn 15 totp-sleutels ruimschoots voldoende.

Het is vrij eenvoudig om de Nitrokey voor tweefactorauthenticatie bij Google in te stellen; voor andere websites zal dat gelijkaardig werken. Op de pagina Beveiliging van je Google-account klik je onder Inloggen bij Google op Authenticatie in twee stappen om tweefactorauthenticatie in te schakelen. Je dient eerst een tweede factor zoals je telefoon in te stellen.

Daarna dien je onder het kopje Alternatieve tweede factor instellen voor Authenticator-app te kiezen en eronder op Instellen te klikken. We gaan die app niet gebruiken, maar de Nitrokey maakt van hetzelfde protocol gebruik, dus die is volledig compatibel met deze methode.

In de volgende stap geef je dan aan dat je een Android-telefoon hebt en daarna dat je de getoonde qr-code niet kunt inscannen. Je krijgt nu een sleutel in de vorm van een tekenreeks zoals ‘76ny iyup z2ch qx5u 3vji msot fgqy w3wx’ te zien. Deze sleutel is de ‘startcode’ op basis waarvan de eenmalige wachtwoorden gegenereerd worden.

In Nitrokey App kies je nu in het tabblad OTP Slot Configuration een vrij totp-slot, geef je het een naam en plak je de code in het veld naast Secret Key. Nadat je onderaan rechts op Save hebt geklikt en je Admin PIN hebt ingevoerd, kan je Nitrokey totp-codes voor je Google-account genereren.

Zodra je van Google nu de vraag om een totp-code krijgt, klik je in Nitrokey App op Menu / Passwords en dan op de gewenste account. Nitrokey App kopieert de totp-code dan naar het klembord, zodat je ze eenvoudig in je browser kunt plakken. Na twee minuten wordt de code uit je klembord verwijderd.

©PXimport

OpenPGP en S/MIME

Het laatste wat we met de Nitrokey wilden doen, is e-mails versleutelen en ondertekenen via asymmetrische encryptie. Ook hierin blinkt de Nitrokey uit, maar dit vereist wat voorbereidingswerk. Allereerst dien je een keuze te maken uit twee manieren: GnuPG (met het OpenPGP-protocol) of S/MIME (met X.509-certificaten, hetzelfde type als voor TLS/SSL).

De tools die je nodig hebt om met OpenPGP of S/MIME te werken, zijn niet helemaal compatibel. De makers van Nitrokey raden daarom aan om ze niet allebei tegelijk te gebruiken. En als je je Nitrokey met een PKCS#11-driver (voor S/MIME) geïnitialiseerd hebt, kun je de sleutels niet meer met GnuPG gebruiken. Ze raden daarom aan om je sleutels met GnuPG aan te maken.

Download Gpg4win, dat de Windows-versie van GnuPG en enkele bijbehorende tools bevat. Tijdens de installatie kun je kiezen welke extra tools je installeert. Wij lieten het bij de standaardkeuzes.

In de documentatie van nitrokey spreken de makers nog over het gebruik van GNU Privacy Assistant (GPA), maar de ontwikkelaars van Gpg4win raden het standaard meegeïnstalleerde Kleopatra aan.

Hoewel Kleopatra nergens in de documentatie van Nitrokey vermeld staat, vonden we in het forum wel verwijzingen. Het programma blijkt de Nitrokey out-of-the-box te ondersteunen. Na het menu Hulpmiddelen / Smartcards beheren geopend te hebben, kregen we na enkele keren op F5 te drukken de informatie over onze Nitrokey te zien, zoals het serienummer.

Ook de rest wijst zichzelf uit. Met een klik op Nieuwe sleutels genereren creëren we nieuwe OpenPGP-sleutelparen voor handtekeningen, sleutels en authenticatie. Dat gebeurt op de Nitrokey zelf, dus de geheime sleutel van elk sleutelpaar verlaat het apparaatje nooit.

©PXimport

Versleuteld e-mailen

Zodra we OpenPGP-sleutels op de Nitrokey hebben, kunnen we die voor e-mailversleuteling gebruiken. Dat kan in principe met elk programma dat OpenPGP ondersteunt. Wij probeerden dit uit met de e-mailclient Thunderbird uit de Mozilla-stal in samenwerking met de extensie Enigmail. Die is vanuit het menu Add-ons van Thunderbird te installeren.

Na een herstart van Thunderbird vind je Enigmail in zijn eigen menu. Klik daarin op Sleutelbeheer. Als je voorbereiding met Kleopatra correct gebeurd is, zie je hier je publieke sleutel. Klik je in dit venster op Bestand / Smartcard beheren…, dan krijg je informatie over je Nitrokey te zien. Dat is het teken dat je Nitrokey herkend is, en dat je aan de slag kunt gaan met Enigmail.

Enigmail werkt vanzelf met je Nitrokey samen. Het enige wat je nog hoeft te doen, is in de instellingen van je e-mailaccount OpenPGP-ondersteuning inschakelen. Wanneer je daarna een e-mail verstuurt en daarvoor kiest of dat in de instellingen als standaardgedrag ingesteld hebt, wordt die automatisch met de geheime sleutel op je Nitrokey ondertekend. Je krijgt dan eerst de vraag om je pincode in te voeren.

En ook als je een e-mail ontvangt die versleuteld is met je publieke sleutel, handelt Enigmail dit automatisch af: je krijgt weer de vraag om je pincode en de e-mail wordt dan met je bijbehorende geheime sleutel ontcijferd. Daarbij gebeuren alle bewerkingen op je Nitrokey zelf.

©PXimport

Conclusie

De Nitrokey Pro 2 is een handig stukje hardware waarmee je je beveiligingsniveau in één keer stevig opkrikt. De Nitrokey App ziet er wat gedateerd uit, maar werkt in de praktijk heel handig als toegangspoort tot de wachtwoordkluis en otp-generator.

Het is jammer dat de ingebouwde wachtwoordkluis maar plaats voor 16 wachtwoorden heeft. Ook de incompatibiliteit tussen GnuPG en PKCS#11 kan in sommige situaties wat roet in het eten gooien. Dat is niet de fout van de Nitrokey; maar voor sommige taken heb je GnuPG nodig en voor andere PKCS#11, en dat is dan wat lastig.

Maar het grootste pluspunt is dat de Nitrokey zich als een OpenPGP-smartcard gedraagt in het handige formaat van een usb-stick. De integratie met GnuPG en Thunderbird in combinatie met Enigmail werkt feilloos. Voor wie versleuteld e-mailt en dat volgens het boekje wil doen, is de Nitrokey Pro 2 een no-brainer.

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Op zoek naar een betaalbare smartphone, maar dan wel eentje met een virtuele simkaart? De redactie van ID.nl is voor je op zoek gegaan naar smartphones met een prijskaartje van onder de 400 euro.

Met een eSim ben je niet meer afhankelijk van een fysiek simkaartje en heb je geen gepriegel meer met het plaatsen van je sim in de telefoon. Je kunt daardoor snel van provider wisselen zonder gedoe. Ideaal als je veel op reis bent, omdat je op deze manier eenvoudig internationale abonnementen kunt activeren. Daarnaast kun je op die manier ook gebruik maken van meerdere telefoonnummers op een enkel toestel, bijvoorbeeld eentje voor werk en prive. De mooiste toestellen met eSim en onder de 400 euro vind je hier.

Sony Xperia 10 VI

De Sony Xperia 10 VI is een compacte smartphone met een focus op multimedia. Het 6,1-inch FHD+ OLED-scherm met een 21:9 beeldverhouding is ideaal voor het bekijken van films. Aangedreven door de Snapdragon 6 Gen 1-chipset en uitgerust met 8 GB RAM, biedt het toestel soepele prestaties.

De 48 MP hoofdcamera legt gedetailleerde foto's vast, terwijl de 5000 mAh batterij zorgt voor langdurig gebruik. Met IP68-certificering is het toestel bestand tegen water en stof.

Samsung Galaxy A26 5G

De Galaxy A26 5G combineert een slank ontwerp met krachtige prestaties. Het 6,7-inch FHD+ Super AMOLED-display biedt levendige kleuren en vloeiende beelden dankzij de 120 Hz verversingssnelheid. Onder de motorkap bevindt zich de Exynos 1380-chipset, ondersteund door 4 tot 8 GB RAM, wat zorgt voor soepele multitasking.

De 50 MP hoofdcamera met optische beeldstabilisatie legt scherpe foto's vast, zelfs bij weinig licht. Met een batterijcapaciteit van 5000 mAh en IP67-certificering is dit toestel zowel duurzaam als betrouwbaar. Bovendien belooft Samsung tot zes jaar beveiligingsupdates, wat de levensduur van het apparaat verlengt.

Motorola Edge 60 Fusion 

De Motorola Edge 60 Fusion is een elegant middelklasse-smartphone die indruk maakt met zijn moderne design en degelijke prestaties. Hij beschikt over een indrukwekkend 6,67‑inch pOLED‑scherm met Super‑HD-resolutie (1 220 × 2 712 pixels), 120 Hz ververssnelheid en HDR10+, beschermd door Gorilla Glass 7i — en dat op alle vier de schermranden. De 50 MP hoofdcamera met optische beeldstabilisatie (OIS) en 13 MP ultragroothoeklens leveren scherpe beelden, terwijl de 32 MP frontcamera mooie selfies maakt.

Motorola Moto G35 5G

De Motorola Moto G35 5G biedt solide prestaties voor een betaalbare prijs. Het 6,72-inch LCD-scherm met een verversingssnelheid van 120 Hz zorgt voor vloeiende beelden. De 50 MP Quad Pixel-camera levert scherpe foto's, zelfs bij weinig licht.

Met een batterijcapaciteit van 5000 mAh en ondersteuning voor 5G-connectiviteit blijf je de hele dag verbonden. Hoewel de Unisoc T760-processor niet de snelste is, biedt het toestel voldoende kracht voor dagelijks gebruik.

Samsung Galaxy A35 5G

De Galaxy A35 5G biedt premium functies in een betaalbaar jasje. Het 6,6-inch FHD+ Super AMOLED-display met een verversingssnelheid van 120 Hz zorgt voor heldere en vloeiende beelden. De 50 MP hoofdcamera met optische beeldstabilisatie legt scherpe foto's vast, terwijl de 13 MP selfiecamera zorgt voor duidelijke zelfportretten.

Aangedreven door de Exynos 1380-chipset en beschikbaar met tot 12 GB RAM, biedt het toestel krachtige prestaties. De 5000 mAh batterij ondersteunt 25W snelladen, en Samsung belooft tot vijf jaar beveiligingsupdates.

Fairphone gaat vanaf deze maand elk nieuw toestel in Europa standaard leveren met ChatLicense, een app die jongeren en ouders helpt verantwoord om te gaan met de eerste smartphone. De samenwerking moet bijdragen aan meer digitale weerbaarheid en sluit aan bij Fairphones missie om technologie niet alleen duurzaam te produceren, maar ook bewust te gebruiken.

ChatLicense is bedoeld voor gezinnen die hun kind een eerste smartphone geven. De app neemt kinderen mee in een leertraject met korte video's, animaties en quizvragen over onderwerpen als sociale media, chat-apps en online veiligheid. Bij elke stap verdienen ze een stukje van hun 'digitale rijbewijs'. Voor ouders is er een begeleidende gids met gespreksstarters en uitleg, zodat het gesprek thuis vanzelf op gang komt. De methode is gebaseerd op onderzoek van de Erasmus Universiteit Rotterdam en legt de nadruk op leren en weerbaarheid, in plaats van alleen beperken en controleren.

Lees hier onze review van de Fairphone 6

Fairphone Moments

Voor Fairphone sluit de samenwerking aan op eerdere stappen richting bewuster gebruik. Bij de introductie van de Fairphone 6 kwam ook Fairphone Moments, een fysieke knop waarmee gebruikers hun toestel direct in een minimalistische modus kunnen zetten. In die stand worden meldingen en apps sterk teruggebracht, zodat schermtijd vanzelf afneemt. Dat blijkt niet alleen handig voor jongeren, maar ook voor volwassenen die wat meer rust zoeken. Met ChatLicense komt daar nu een educatieve laag bovenop, die vooral gezinnen met jonge kinderen helpt bij de eerste kennismaking met een smartphone.

©Fairphone

Zorgen over schermtijd

De timing is niet helemaal toevallig. Steeds meer ouders maken zich zorgen over hoeveel tijd hun kinderen online doorbrengen en of ze wel voldoende zijn voorbereid op risico's als cyberpesten of misleidende informatie. Uit onderzoek blijkt dat kinderen vaak al rond hun tiende of elfde verjaardag een eigen toestel krijgen, terwijl duidelijke afspraken thuis niet altijd aanwezig zijn. Scholen en gemeenten proberen die digitale opvoeding wel te ondersteunen, maar het gesprek blijft in gezinnen vaak lastig. Door ChatLicense standaard mee te leveren bij elk toestel, hoopt Fairphone een praktische drempel weg te nemen en gezinnen direct iets in handen te geven.

Wat is ChatLicense?

ChatLicense werd eind 2023 in Nederland gelanceerd en heeft zich sindsdien uitgebreid naar meerdere Europese landen. De app kreeg goede beoordelingen in de appstores, onder meer door de speelse insteek en het ontbreken van advertenties of dataverzameling voor commerciële doeleinden. Voor veel ouders is dat een geruststelling, omdat juist die afhankelijkheid van techbedrijven vaak een punt van zorg is. De makers benadrukken dat de inhoud in samenwerking met wetenschappers en pedagogen wordt ontwikkeld, zodat kinderen niet alleen technische kennis opdoen, maar ook vaardigheden om bewust en kritisch online te zijn.

©Fairphone

Een bredere standaard

Met de bundeling van ChatLicense en Fairphone krijgen kinderen die hun eerste smartphone ontvangen voortaan dus niet alleen een mooie nieuwe telefoon, maar ook een digitale opleiding. Daarmee gaat Fairphone verder dan alleen het maken van duurzame hardware; het bedrijf wil immers ook bijdragen aan bewuster gebruik van zo'n toestel. Of het daadwerkelijk leidt tot een nieuwe standaard in de industrie, zal de komende jaren moeten blijken. Maar hé, een stukje bewustwording kan natuurlijk sowieso geen kwaad.