Het wordt steeds belangrijker om je accounts op internet goed te beschermen met een tweestapsverificatie. Maar er zijn wel wat valkuilen waar je rekening mee moet houden. Aegis Authenticator is een heel praktische app om toegangscodes mee te genereren. We laten zien hoe je de app gebruikt én hoe je er veilig mee om kunt gaan.

Meldingen over gelekte wachtwoorden door bijvoorbeeld datelekken zijn aan de orde van de dag. De ouderwetse combinatie van een gebruikersnaam en wachtwoord is duidelijk niet meer toereikend. Gelukkig kun je veel accounts beveiligen met tweestapsverificatie. Bekende voorbeelden zijn Google, GitHub, Dropbox, Facebook en Instagram, maar dat lijstje is ondertussen veel langer. Kenmerkend bij tweestapsverificatie is dat iets wat je weet (je wachtwoord) wordt gecombineerd met iets wat je hebt als tweede factor (bijvoorbeeld je smartphone). Er is dus fysiek toegang tot je telefoon nodig om te kunnen inloggen. Praktisch betekent het dat je een toegangscode invult die je via sms of een app ontvangt. Vaak wordt Google Authenticator gebruikt, maar die heeft de nodige beperkingen. Daarom kiezen we bij deze workshop voor Aegis Authenticator. We laten zien hoe je deze tool ten volle benut!

1 Installatie

Als je tweestapsverificatie gaat gebruiken op basis van een app die toegangscodes genereert, wordt meestal Google Authenticator aanbevolen. Die app heeft alleen een paar nadelen, waarvan enkele in deze workshop aan bod komen. Omdat voor tweestapsverificatie meestal het TOTP-algoritme (Time-based One-Time Password) wordt gebruikt, kun je naast Google Authenticator ook een hele reeks andere apps gebruiken. Bekende voorbeelden zijn Authy en Microsoft Authenticator. Hier kiezen we voor Aegis Authenticator. Deze app is gratis, opensource en geeft je meer opties dan Google Authenticator. Bovendien is de app erg gebruiksvriendelijk. Je kunt Aegis Authenticator gratis installeren via de Google Play Store. Er is (nog) geen versie voor iPhone of iPad.

2 Toegang beveiligen

Als je Aegis Authenticator de eerste keer opstart, wordt gevraagd of je de toegang tot de gegevens wilt beveiligen en op welke manier. 

Het komt erop neer dat je de sleutels (optioneel) extra veilig kunt bewaren op je toestel door ze te versleutelen. Als je daarvoor kiest, wordt bij het starten van de app om een wachtwoord of vingerafdruk gevraagd. Daarmee kun je de gegevens weer leesbaar maken en de toegangscodes genereren. Dit is het grootste nadeel: er is steeds deze extra stap nodig. 

Je hoeft deze extra beveiliging niet te gebruiken. Dan werkt de app hetzelfde als Google Authenticator: na het starten krijg je direct je toegangscodes te zien. In die situatie raden we je wel aan om een goede algemene schermbeveiliging in te stellen en de telefoon nooit onbeheerd achter te laten.

©CIDimport

3 Toegangscodes toevoegen

Een enkele keer is het gebruik van tweestapsverificatie verplicht, maar meestal is het een keuze. De tweestapsverificatie kun je via de accountinstellingen van de bewuste website of dienst activeren. Vooral als het om gevoelige of waardevolle gegevens gaat raden we je aan dat te doen. Als je de verificatie aanzet wordt als eerste een unieke geheime sleutel aangemaakt die je in Aegis Authenticator overneemt. Dat doe je door het overtikken van de sleutel of het scannen van de QR-code met de camera. Op basis van die sleutel en de actuele tijd laat de app vervolgens steeds de toegangscode van zes cijfers zien, ook wel een token genoemd. Die code moet je na het inloggen met je gebruikersnaam en wachtwoord invoeren als extra stap. Daar heb je niet veel tijd voor: elke dertig seconden wordt een nieuwe toegangscode gemaakt. Accounts die je toevoegt, kun je eventueel in een groep indelen. Daar kun je dan later in het overzicht met toegangscodes op filteren. Dat is handig als je erg veel toegangscodes hebt. Wil je een item naderhand bewerken, houd het dan lang ingedrukt en tik op het penceeltje. Ook kun je zo de QR-code nog eens zichtbaar maken om de sleutel met een ander toestel te delen, zodat je ook daarmee als een soort back-up geldige toegangscodes kunt genereren.

4 Extra instellingen

©CIDimport

Aegis Authenticator geeft je via het menu extra instellingen om de app nog veiliger te maken. Zo kun je met de optie Schermbeveiliging voorkomen dat een screenshot van het scherm wordt gemaakt. 

We raden je aan dit te activeren. In het verleden is dit wel eens als achterdeurtje gebruikt om toegangscodes van Google Authenticator te ontfutselen. Verder kun je er met Aantikken om te laten zien voor kiezen dat toegangscodes pas worden getoond als je erop tikt. Handig als je op een plek zit waar anderen mee kunnen kijken. 

Via de instellingen kun je verder ook bijvoorbeeld het uiterlijk aanpassen, zoals een bepaald thema of compactere weergave. Ook vind je opties voor importeren en exporteren die we in het volgende punt behandelen.

5 Back-up maken

Bij Google Authenticator zijn alle sleutels veilig opgeborgen op je smartphone. Je kunt ze inmiddels wel handmatig overzetten naar een tweede toestel via een QR-code. Alleen is dat (heel) lastig als je de smartphone bent verloren. Met Aegis Authenticator kun je in één handeling alle sleutels exporteren naar een bestand, dat je later op een ander toestel kunt importeren. Voor het maken van de back-up open je de instellingen en kies je onder Hulpmiddelen de optie Exporteren. Accepteer het standaardformaat. Je kunt het op het toestel zelf opslaan of via de optie Delen op een andere manier uitwisselen. Als je de optie Versleutel de kluis hebt aangevinkt, wordt vervolgens om een wachtwoord gevraagd. Dat heb je later weer nodig bij het importeren. Bewaar het wachtwoord het liefst apart van het back-upbestand. Wil je de gegevens terugzetten naar een vers geïnstalleerde app? Kies dan via de instellingen voor Importeren vanuit een bestand. Selecteer Aegis Authenticator als formaat en blader naar het bestand. Geef hierna het wachtwoord op. Vink aan welke items je wil importeren en bevestig. Nu heb je al je sleutels weer terug en kun je toegangscodes voor de bewuste websites en diensten gaan genereren.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Daarom speuren we een paar keer per week binnen een bepaald thema naar zulke deals. Dit keer hebben we vijf DAB+-radio's voor je gevonden die je ook nog eens heel makkelijk meeneemt, op vakantie bijvoorbeeld.

Digitale radio via DAB+ (Digital Audio Broadcasting) biedt een helder en storingsvrij radiosignaal, met een steeds groter zenderaanbod. Dat maakt het luisteren een stuk aangenamer. Dankzij modellen met ingebouwde accu of batterijen ben je niet gebonden aan een stopcontact. Voeg daar een netstroomaansluiting aan toe en je hebt een toestel dat net zo makkelijk op de camping als op het aanrecht in de keuken dienst kan doen.

Denver DAB-18 Radio DAB+

De Denver DAB-18 is een compacte DAB+/FM-radio die een retro uiterlijk combineert met moderne functionaliteit. De geïntegreerde Bluetooth-functie maakt het mogelijk om draadloos muziek te streamen vanaf je smartphone of tablet. Daarnaast beschikt de radio over een AUX-ingang voor het aansluiten van externe apparaten. Met de dubbele alarmfunctie en snoozefunctie is de DAB-18 ook geschikt als wekkerradio. Het dimbare lcd-display toont duidelijk informatie over zenders en instellingen. De radio werkt zowel op netstroom als op 4 C-batterijen. Met 20 voorkeuzezenders (10 DAB+ en 10 FM) heb je snel toegang tot je favoriete stations.

Audizio Milan

De Audizio Milan is een compacte draagbare DAB+/FM-radio. De Milan biedt zowel DAB+ als FM-ontvangst, waardoor je kunt genieten van een breed scala aan radiostations met heldere geluidskwaliteit. Dankzij de Bluetooth-functionaliteit kun je draadloos muziek streamen vanaf je smartphone of tablet. Met de ingebouwde 2000mAh-accu heb je genoeg stroom voor zo'n 10 uur luisterplezier, en kan de radio via usb worden opgeladen. Het 2,4-inch kleurendisplay toont duidelijk informatie over zenders en instellingen.

Grundig DTR 4500 BT DAB

De Grundig DTR 4500 BT DAB heeft Bluetooth 5.0-functionaliteit en kun je naast het luisteren naar DAB-stations ook gebruiken om te streamen vanaf je smartphone of tablet. De radio beschikt over een 2.0 stereo luidsprekersysteem met een totaal vermogen van 10 watt RMS. Het 2,4-inch kleurendisplay biedt duidelijke informatie over zenders en instellingen, en de helderheid is in drie stappen aan te passen. Hoewel de DTR 4500 BT DAB geen ingebouwde accu heeft, kan hij natuurlijk wel gewoon op netstroom worden aangesloten.

Lenco PDR-040EF Bambus

De Lenco PDR-040EF Bambus is gemaakt van echt bamboe en gerecycled ABS met tarwevezel, wat niet alleen een mooie uitstraling geeft, maar ook bijdraagt aan duurzaamheid. Met Bluetooth 5.0-functionaliteit kun je eenvoudig muziek streamen vanaf je smartphone of tablet. De radio beschikt over een 3 watt RMS luidspreker en een passieve basradiator. De ingebouwde 2000mAh accu biedt tot 16 uur afspeeltijd via Bluetooth en tot 12 uur via FM of DAB+, waardoor je de hele dag kunt genieten van je favoriete muziek, zowel thuis als onderweg. Daarnaast is de radio uitgerust met een klok- en alarmfunctie, een 3,5 mm hoofdtelefoonaansluiting en een telescoopantenne.

Kenwood CR-M30DAB-R

Deze compacte Kenwood kan overweg met FM-radio en DAB+. De radio beschikt over Bluetooth-functionaliteit, waardoor je draadloos muziek kunt streamen vanaf je smartphone of tablet. Dankzij de geïntegreerde oplaadbare batterij kun je tot 7 uur genieten van je favoriete muziek zonder dat je een stopcontact nodig hebt. Daarnaast is de radio voorzien van een helder LCD-scherm dat informatie over zenders en instellingen duidelijk weergeeft. Met de mogelijkheid om zowel op netstroom als op de interne accu te werken, kun je de CR-M30DAB op verschillende manieren gebruiken.

Bij het versturen van je e-mails heb je geen garantie dat er niemand meeleest. Je berichten kunnen onderweg door onbevoegden worden onderschept en gelezen. Wil je dit risico absoluut voorkomen? Dan kun je ervoor kiezen om je berichten voortaan te versleutelen. Als je dat doet, kan alleen de beoogde ontvanger, degene die over de juiste sleutel beschikt, jouw bericht lezen.

Een vertrouwelijk bericht zet je niet snel op een ansichtkaart. Die stop je bij voorkeur in een gesloten envelop. Dit geldt natuurlijk ook voor een vertrouwelijk bericht dat je via e-mail verstuurt. Ook daarvan wil je niet dat anderen die zomaar lezen. Dat risico loop je wel, want ook bij e-mail is je bericht (onderweg) vaak probleemloos leesbaar, op diverse mailservers.

Wat je hiertegen kunt doen, is je bericht beveiligen. Dit kun je op een eenvoudige manier doen door je bericht in een tekstbestand op te nemen en als versleuteld zip-bestand mee te sturen. Dit kan bijvoorbeeld met de gratis tool 7-Zip. Je deelt het wachtwoord dan via een apart kanaal, bijvoorbeeld telefonisch, of met een beveiligde chatapp als WhatsApp of Signal. Deze aanpak is alleen nogal bewerkelijk en bovendien wordt alleen de bijlage versleuteld, niet je gehele bericht.

In dit artikel bespreken we daarom twee gratis methoden om een volledige e-mail, inclusief bijlagen, te versleutelen. De eerste optie is relatief eenvoudig: je verstuurt je berichten via een online maildienst, zoals Proton Mail. De tweede manier is wat technischer en maakt gebruik van de gratis mailapp Thunderbird gecombineerd met OpenPGP. Deze methode is voor wie geen extra mailservice wil gebruiken.

Account creëren bij Proton Mail

Er zijn verschillende online diensten beschikbaar voor het versturen van versleutelde e-mails. Omdat je berichten tijdelijk op hun servers worden opgeslagen, is het verstandig te kiezen voor aanbieders die zijn gevestigd in landen met sterke privacywetten, zoals Tutanota uit Duitsland en Proton Mail uit Zwitserland. Beide zijn vergelijkbaar en bieden in hun gratis versies ongeveer dezelfde functionaliteit. Wij gebruiken Proton Mail als voorbeeld.

Ga naar de site, klik op Create a free account en kies Get Proton for free. Je krijgt 1 GB opslagruimte, geschikt voor één gebruiker en één e-mailadres. Wil je meer, dan biedt Mail Plus extra opties voor ongeveer 4 euro per maand. Vul een Gebruikersnaam en een sterk Wachtwoord in (twee keer). Bij Gebruikersnaam kun je kiezen tussen @proton.me en @protonmail.com. Bevestig met Account aanmaken. Na een captcha-test kun je een weergavenaam voor je account instellen. Klik op Doorgaan om optioneel een herstelmethode in te stellen voor als je je wachtwoord vergeet.

Je kiest zelf een geschikte weergavenaam voor je e-mailaccount bij Proton Mail.

Mails verzenden

In je online dashboard kun je (versleutelde) mails verzenden en ontvangen. Wil je liever een app gebruiken, klik dan rechtsboven op het tandwielpictogram en kies Download de Proton Mail-apps voor mobiele apparaten (Android en iOS) of computers (Windows, macOS en Linux). Voor sporadisch gebruik voldoet de webversie prima.

Klik linksboven op Nieuw bericht om een versleuteld bericht te maken. Vul in het Aan-veld bijvoorbeeld je eigen Proton-adres in om te testen. Voeg een Onderwerp en berichttekst toe en verstuur indien gewenst een bijlage via het paperclipicoon. Klik op Verstuur om het bericht te verzenden; dat verschijnt even later in je inbox.

Versleutelde berichten kun je op dezelfde manier naar andere Proton Mail-gebruikers sturen. Voor het verzenden van versleutelde mails naar andere e-mailadressen klik je onderaan het dialoogvenster op het sloticoontje, of je gebruikt de toetscombinatie Ctrl+Shift+E. Stel een Wachtwoord en optionele Wachtwoord hint in en bevestig met Versleuteling instellen. Klik daarna op Verstuur. De ontvanger ontvangt een mail van Proton met jouw berichttitel en een knop Unlock message. Door hierop te klikken, opent de ontvanger Proton Mail in zijn browser. Na het invoeren van het juiste wachtwoord kan hij het bericht lezen en ook Veilig beantwoorden.

Je kunt (via de online server) ook versleutelde berichten versturen naar mensen die Proton Mail niet gebruiken.

Meer technische aanpak met Thunderbird

Diensten als Proton Mail maken het makkelijk om versleutelde berichten te versturen, maar je bent afhankelijk van een externe provider en hebt geen controle over de versleuteling. De gratis versie kent daarnaast enkele beperkingen. Als je niet terugschrikt voor een meer technische aanpak, is een mailclient als Thunderbird, met uitstekende ondersteuning van de encryptiestandaard OpenPGP, een goed alternatief.

Download de app via www.thunderbird.net. Deze werkt op diverse platformen, waaronder Windows, macOS en Linux. We richten ons hier op de Windows-versie. Installeer de app en start deze op. Bij de eerste start verschijnt het venster voor het aanmaken van een e-mailaccount automatisch.

Thunderbird is voor diverse platformen beschikbaar, zowel mobiel als desktop.

Accountconfiguratie

Vul je naam, e-mailadres en bijbehorend wachtwoord in. Gaat het om een bekende mailprovider, zoals @gmail.com, dan haalt Thunderbird automatisch de vereiste serverconfiguratie uit zijn database zodra je op Doorgaan klikt. Werkt dit niet, klik dan op Handmatig configureren en vul zelf de gegevens in voor de inkomende en uitgaande mailserver. Afhankelijk van je mailprovider kun je vaak kiezen tussen IMAP (berichten blijven op de server en worden lokaal gesynchroniseerd) en POP3 (berichten worden alleen lokaal bewaard). Controleer je configuratie met Opnieuw testen. Krijg je groen licht, bevestig dan met Gereed en OK.

Je kunt op elk moment nieuwe e-mailaccounts toevoegen, ook van andere mailproviders. Dit doe je via het knopje met de drie streepjes rechtsboven, waar je opnieuw Nieuwe account / E-mail kiest om in het bekende configuratievenster te komen.

Wil je Thunderbird verder configureren en afstemmen, open dan Instellingen en bekijk de rubrieken zoals Algemeen, Opstellen, Privacy & Beveiliging, Chat of Exporteren voor Mobiel. We hebben helaas niet de ruimte om hier dieper op in te gaan.

Als het goed is, diept Thunderbird de nodige serverconfiguratie uit zijn database op.

Sleutels creëren

We gaan ervan uit dat je inmiddels een of meerdere e-mailaccounts in Thunderbird hebt aangemaakt en probleemloos mails kunt versturen en ontvangen. Nu is het belangrijk om dit ook met versleutelde berichten te doen. Thunderbird heeft hiervoor het protocol OpenPGP geïntegreerd. Hiervoor is een sleutelpaar nodig (zie het kader ‘OpenPGP’). De eerste stap is het aanmaken van dit sleutelduo.

Klik op het knopje met de drie puntjes en kies Extra / OpenPGP-sleutelbeheerder. Er opent een dialoogvenster waarin je op Aanmaken klikt en Nieuw sleutelpaar selecteert. Gebruik het pijlknopje bij Identiteit om het gewenste e-mailadres te kiezen. Laat de overige instellingen, zoals geldigheidsduur (standaard 3 jaar, of selecteer eventueel Sleutel vervalt niet), type (RSA) en grootte (3072 bits), gerust ongemoeid. Klik op Sleutel aanmaken en Bevestigen. Je nieuwe sleutelpaar wordt direct aan de sleutelbeheerder toegevoegd.

Weet dat je van hier vanuit het contextmenu ook altijd een sleutel kunt intrekken en zelfs verwijderen. Let wel, in dit laatste geval kun je reeds ontvangen berichten dan ook niet meer ontsleutelen.

Je bepaalt zelf de geldigheidsduur van een aangemaakte sleutel.

Exporteren

Om een versleuteld bericht te versturen, heb je de publieke sleutel van de ontvanger nodig. Omgekeerd heeft iemand jouw publieke sleutel nodig om jou een versleutelde mail te sturen. Er zijn verschillende manieren om deze sleutel beschikbaar te maken.

Je kunt je publieke sleutel bewust exporteren. Klik rechts op de gewenste sleutel in de sleutelbeheerder, kies Sleuteleigenschappen en zorg dat Ja, deze sleutel als een persoonlijke sleutel behandelen is geselecteerd. Bevestig met OK, klik opnieuw met rechts op de sleutel en selecteer Publieke sleutel(s) per e-mail verzenden en verstuur het bericht naar de ontvanger(s).

Een alternatief is je sleutel publiceren in de OpenPGP Key Repository. Kies in het contextmenu Publieke sleutel(s) exporteren naar bestand en sla het bestand […]-public.asc op een geschikte locatie op. Dit zogeheten ASCII-armored bestand (met de publieke sleutel tussen de headers PGP PUBLIC KEY BLOCK), kun je gerust bekijken met een teksteditor.

Voor registratie ga je naar https://key.openpgp.org. Klik op Uploaden en op Bestand kiezen. Verwijs naar het asc-bestand, bevestig met Upload, klik op Verzend verificatie-e-mail en volg de link in de bevestigingsmail. De registratie van je identiteit wordt op de webpagina bevestigd.

In enkele stappen exporteer je je publieke sleutel vanuit de sleutelbeheerder.

Importeren en zoeken

De publieke sleutel is nu beschikbaar, zodat je naar het bijbehorende e-mailadres een versleuteld bericht kunt sturen. Maar hoe importeer je zo’n publieke sleutel? Als je de sleutel als bijlage via e-mail in Thunderbird hebt ontvangen, kun je deze meestal direct importeren via de knop OpenPGP nabij de e-mailheader. Zie je deze knop niet, dan kun je dit handmatig doen.

Bewaar de asc-bijlage op je pc, open vervolgens de OpenPGP-sleutelbeheerder in Thunderbird, ga naar het menu Bestand en kies Publieke sleutel(s) importeren uit bestand. Selecteer het opgeslagen asc-bestand, kies Geaccepteerd (niet geverifieerd) en bevestig met Importeren. Klik daarna op Details bekijken en sleutelacceptatie beheren. Als je zeker bent dat de sleutel afkomstig is van de juiste persoon, selecteer je Ja, ik heb persoonlijk geverifieerd dat deze sleutel de juiste vingerafdruk heeft. Bevestig met OK (twee keer) en Sluiten.

Als de sleutel is geregistreerd in de OpenPGP Key Repository, kun je deze ook zelf opzoeken. Ga naar https://keys.openpgp.org en zoek met het e-mailadres, de sleutel-ID of de digitale vingerafdruk. Zodra je de juiste sleutel vindt, klik je erop om deze te downloaden en vervolgens te importeren zoals hierboven beschreven.

Je kunt het zoekproces ook direct in Thunderbird starten. Open de OpenPGP-sleutelbeheerder, ga naar het menu Sleutelserver en kies Sleutels online ontdekken. Vul een e-mailadres of sleutel-ID in. Als de beoogde sleutel wordt gevonden, verschijnt automatisch het inmiddels vertrouwde importvenster.

Je kunt ook direct vanuit Thunderbird online naar publieke sleutels zoeken.

Check-up

Je hebt nu de publieke sleutel van de ontvanger, maar een extra controle is toch belangrijk. Klik op het knopje met de drie streepjes, kies Accountinstellingen en open End-to-end-versleuteling bij het gewenste e-mailadres. Staat bij OpenPGP de optie Geen geactiveerd, selecteer dan de juiste sleutel. Klik op het pijlknopje en vervolgens op Sleuteleigenschappen om deze te controleren. Sluit af met OK.

Vanuit dit venster kun je je openbare sleutel ook registreren op https://keys.openpgp.org. Dit die je via de knop Publiceren.

De volgende stap is normaal gesproken niet nodig, maar mocht het toch niet lukken om versleutelde berichten te versturen, controleer dan het volgende. Klik opnieuw op het knopje met de drie streepjes, kies Instellingen, open Algemeen en scrol helemaal tot bij de knop Configuratie-editor. Klik hierop, zoek naar Mail.openpgp.enable en druk op de knop Omschakelen totdat True verschijnt. Daarna mg je de editor afsluiten.

Zorg dat de juiste sleutel aan je e-mailadres is gekoppeld.

Versturen

Alles is nu gereed om berichten met OpenPGP-encryptie te versturen. Open je Postvak IN en klik op +Nieuw bericht. Vul zoals gebruikelijk de velden Aan en Onderwerp in en typ je tekstbericht. Zorg ervoor dat je in het Aan-veld alleen e-mailadressen invoert waarvoor je al een publieke sleutel hebt geïmporteerd. Klik daarna op Versleutelen in de knoppenbalk.

Klik op het pijlknopje bij OpenPGP en vink Onderwerp versleutelen aan, zodat ook de onderwerpregel is afgeschermd. Eventueel kun je Digitaal ondertekenen aanvinken. Hiermee wordt een hash (een mathematisch gegenereerde samenvatting) van je bericht versleuteld met je private sleutel. Op die manier kan deze alleen met je publieke sleutel worden ontcijferd. Dit bevestigt voor de ontvanger dat het bericht echt van jou afkomstig is. Verzend het bericht vervolgens.

Een ontvanger die je bericht in Thunderbird opent (of in een andere e-mailclient met OpenPGP-ondersteuning), hoeft verder niets extra’s te doen. Hij ziet via icoontjes dat het bericht is versleuteld (hangslot met groen vinkje) en digitaal is ondertekend (zegel). Verschijnt er een rood driehoekje, klik hierop, want dan is er een probleem.

Naast versleutelen kun je een bericht digitaal ondertekenen.