Werk je het liefst onder Linux, maar wil je Windows niet helemaal opgeven? Er zijn genoeg opties om met Windows te werken naast of binnen Linux. Zo kun je een virtuele machine opzetten, maar dat is een flinke klus. In dit artikel bekijken we een alternatief waarbij je Windows in een Docker-container installeert. De installatie gaat volledig automatisch en je kunt met alle denkbare Windows-toepassingen werken. Volgens hetzelfde principe kun je ook macOS installeren!

Voor Linux is enorm veel software beschikbaar. Mis je toch net dat ene Windows-programma, dan is dat gelukkig geen probleem. Er zijn genoeg mogelijkheden om die software te blijven gebruiken.

Als eerste kun je een dualboot overwegen, waarmee je Windows en Linux fysiek op één systeem draait. Voor veel mensen is dit echter te complex. Bovendien moet je al bij het opstarten kiezen welk systeem je gaat gebruiken, terwijl dat niet echt nodig is, tenzij je echt maximale prestaties nastreeft. Computers zijn snel genoeg om van alles simultaan naast elkaar te draaien.

Een bekende optie is een compatibiliteitslaag, zoals het opensource Wine of de commerciële variant CrossOver (zie kader ‘Windows-programma’s met Wine en CrossOver’). Een andere optie is virtualisatie, met bijvoorbeeld VirtualBox of QEMU. Je maakt dan een virtuele machine waarin je vervolgens Windows installeert. Dat is wel vrij omslachtig en vraagt best wat voorbereiding.

In dit artikel behandelen we een andere en veel eenvoudigere optie, die gebruikmaakt van Docker. Na het starten van de container geeft elke willekeurige browser toegang tot Windows. Voor betere prestaties kun je daarnaast een RDP-client gebruiken. Bovendien kun je behalve Windows 11 Pro ook andere Windows-versies kiezen, waaronder Windows Server. Tot slot laten we ook nog zien hoe je op vergelijkbare wijze met macOS via Docker kunt werken. Dan ben je echt van alle markten thuis.

1 Wat gaan we doen?

Er bestaat een gratis en opensource-project waarmee je Windows kunt draaien binnen Docker. Je vindt de projectpagina op GitHub. We laten zien hoe je hiermee binnen zo’n tien minuten Windows kunt installeren en gebruiken. We geven ook wat praktische gebruikstips, bijvoorbeeld voor bestandsdeling en beveiliging.

Standaard wordt Windows 11 Pro geïnstalleerd, maar je kunt ook een andere versie kiezen, zoals Windows 10 Pro of 8.1 Pro. Ook zou je Windows Server 2025 of een oudere versie kunnen kiezen, mocht je daar eens mee willen experimenteren.

In paragraaf 12 t/m 14 gaan we ook met macOS aan de slag. Dit besturingssysteem kun je op vergelijkbare wijze binnen Docker draaien. Dit project heeft zijn eigen GitHub-pagina.

Dankzij dit project kun je Windows eenvoudig uitvoeren binnen Docker.

2 Wat heb je nodig?

Voor het uitvoeren van Windows of macOS binnen een Docker-container heb je Linux nodig met ondersteuning voor Kernel-based Virtual Machine (KVM). De meeste moderne distributies ondersteunen dit, waaronder Ubuntu, Debian, CentOS en Arch Linux. We laten zien hoe je vooraf kunt testen of KVM en virtualisatie op jouw systeem werken. Verder heb je Docker en Docker Compose nodig. Je kunt alles gewoon binnen je huidige Linux-desktopomgeving installeren en gebruiken.

Wij gebruiken Ubuntu Desktop 24.10. Heb je al een Linux-server in je netwerk draaien? Dan kun je daarop eventueel Docker en de containers voor Windows en/of macOS installeren. Dat maakt je nog wat flexibeler. Voor toegang tot Windows heb je een browser nodig of – voor betere prestaties – een client voor het Remote Desktop Protocol (RDP).

Hoewel een groter scherm comfortabeler werkt, kun je zelfs vanaf een smartphone of tablet met je Windows-installatie verbinden! Merk op dat we hier x86-systemen gebruiken. Er bestaat ook een variant voor ARM64-systemen, zoals de Raspberry Pi 5.

Zelfs de Raspberry Pi 5 kun je gebruiken voor het werken met Windows.

3 Installatie Docker met Docker Compose

Voor de installatie van Docker en Docker Compose kun je de handleiding raadplegen van Docker zelf, bijvoorbeeld voor Ubuntu dat we hier als uitgangspunt nemen. Er is ook een snellere installatiemethode. Hiervoor open je eerst een terminalvenster. Vervolgens haal je een speciaal shellscript voor de installatie op:

Start dit script nu als root-gebruiker of met sudo:

Hierna zijn Docker en Docker Compose geïnstalleerd. Maar we raden aan om jezelf na de installatie nog toe te voegen aan de groep genaamd docker. Zorg eerst dat de groep bestaat:

Daarna voeg je jezelf toe aan die groep:

Hierna moet je uitloggen en opnieuw inloggen, of in sommige gevallen Ubuntu herstarten. Vervolgens kun je de onderstaande opdracht geven, als het goed is zonder foutmeldingen. De opdracht laat in een lijst zien welke containers actief zijn. Dat zijn er nu nog geen.

Je kunt ook testen of Docker werkt door een testimage op te halen en te starten:

Docker Compose maakt standaard deel uit van de installatie van Docker. De aanwezigheid kun je eenvoudig controleren:

Installeer Docker met Docker Compose en test of alles werkt.

4 Controle vooraf

Het systeem waarop je de speciale Docker-containers gaat gebruiken moet KVM en hardware-virtualisatie ondersteunen, zoals Intel VT-x of AMD-V. Dat komt omdat binnen de Docker-container een virtuele machine met Windows wordt opgebouwd, die gebruikmaakt van Qemu én van hardware-virtualisatie via KVM. Dat zal in de regel geen probleem zijn, maar soms moet je deze virtualisatie-opties nog aanzetten in het BIOS. Hoe je dat precies doet verschilt per BIOS. Je kunt voordat je aan de slag gaat relatief eenvoudig controleren of je systeem geschikt is door de onderstaande opdrachten te geven. De tool meldt of KVM beschikbaar is en of jouw systeem kan worden gebruikt voor hardwareversnelling.

Via deze tool controleer je eenvoudig de mogelijkheid voor virtualisatie.

Windows

5 Configuratiebestand

We beginnen met de installatie van Windows. Hoewel je de container via de opdrachtregel kunt starten, is het veel praktischer om een configuratiebestand voor Docker Compose te maken. Ook gelet op eventuele aanpassingen in de toekomst. Open hiervoor een terminalvenster, ga naar je thuismap (cd ~), maak een nieuwe map (mkdir windows) en blader naar die map (cd windows). Maak in deze map vervolgens het configuratiebestand met nano docker-compose.yml en geef het de onderstaande inhoud. Hierbij hebben we de standaardconfiguratie van de projectpagina als startpunt genomen, maar wel enkele opties gewijzigd of toegevoegd. De belangrijkste aanpassingen zullen we straks behandelen.

De configuratie voor de container voor Docker Compose.

6 Uitleg configuratie

De container krijgt simpelweg de naam windows en biedt netwerkfunctionaliteit, inclusief ondersteuning voor VPN/tunneling en externe toegang via RDP (Remote Desktop Protocol).

Poort 8006 op de host wordt onder ports gekoppeld aan poort 8006 in de container voor de webinterface. Je kunt het poortnummer op de host (het nummer links) eventueel wijzigen bij een potentieel conflict. Bijvoorbeeld als je op hetzelfde systeem Proxmox VE gebruikt, dat een webinterface aanbiedt via diezelfde poort. Via poort 3389 geven we RDP-toegang via TCP en UDP.

Onder volumes koppelen we een fysieke map (in dit geval ./data) aan /storage in de container waar alle bestanden voor Windows worden bewaard. De host-map wordt automatisch gemaakt als deze nog niet bestaat. Dit volume is belangrijk, omdat Windows anders bij elke herstart van de container opnieuw zal worden geïnstalleerd.

Docker wacht overigens standaard maar tien seconden om een container netjes te stoppen voordat deze geforceerd wordt gestopt. Deze periode is in de configuratie bij stop_grace_period verruimd naar twee minuten, wat lang genoeg is om Windows af te sluiten.

Zorg dat Windows genoeg tijd krijgt om netjes af te sluiten.

7 Aanpassingen

In het configuratiebestand uit paragraaf 5 onder environment kun je nog enkele aanpassingen maken, die we hier bespreken. In de getoonde configuratie zie je bij VERSION de waarde 11. Dat is de keuze voor Windows 11 Pro. Andere populaire opties zijn Windows 10 Pro (10), Windows Server 2025 (2025), Windows Server 2022 (2022) en Windows XP Professional (xp). Merk op dat voor ARM64 andere versienummers worden gebruikt, controleer dat via de projectpagina!

We hebben zoals je in de configuratie kunt zien de parameter LANGUAGE toegevoegd met de waarde Dutch. Daarmee zal de Nederlandstalige versie van Windows worden geïnstalleerd.

Achter DISK_SIZE zie je de hoeveelheid schijfruimte voor Windows. Standaard is dat 64 GB (64G). Je kunt dit eventueel verhogen naar bijvoorbeeld 128 GB (128G) of 256 GB (256G). Dat kan overigens ook nog ná de installatie, zonder verlies van gegevens.

Je kunt verder ook het aantal processorkernen en de hoeveelheid werkgeheugen aanpassen. Standaard worden 2 cores gebruikt en 4 GB werkgeheugen. In het voorbeeld hebben we dit verhoogd naar 4 cores en 6 GB werkgeheugen. Binnen Windows kun je de waarden onder meer via de instellingen achterhalen. De cores zijn overigens niet exclusief voor de virtuele machine, maar worden gedeeld met de host. Meer cores maken het systeem ook niet sneller.

Via de instellingen van Windows kun je informatie over het systeem achterhalen.

8 Container en installatie starten

Als je klaar bent met de configuratie kun je de container starten met de opdracht:

Open nu een browser en verwijs deze naar poort 8006. Op hetzelfde systeem als de host is dat http://localhost:8006. Als je vanaf een ander systeem toegang zoekt, is dat http://IPADRES:8006.

Je ziet dat direct na het starten van de container eerst automatisch een iso-bestand wordt opgehaald voor de installatie van Windows. Voor de meeste varianten van Windows is dat bestand ongeveer 5 GB groot. Via je browser zie je de vordering van deze download. Hierna start ook direct het installatieproces dat je kunt volgen.

Je hoeft nergens iets te kiezen, alles wordt volledig geautomatiseerd afgehandeld. De installatie duurt ongeveer tien minuten. Je kunt je gewenste programma’s installeren zonder beperkingen. Als je klaar bent met (het werken in) Windows kun je de container stoppen met:

Een volgende keer staat Windows al binnen enkele seconden klaar na het starten van de container.

Start de container en controleer op eventuele foutmeldingen.

9 Toegang via RDP-client

Door een RDP-client te gebruiken, zijn veel hogere prestaties mogelijk en profiteer je van een betere beeldkwaliteit en extra features zoals audio. Hier gebruiken we Remmina onder Linux. Je kunt ook andere programma’s gebruiken. In Windows is bijvoorbeeld het programma om te verbinden met een extern bureaublad heel geschikt.

Installeer en open de tool, in dit voorbeeld Remmina. Maak hierin een nieuwe configuratie. Kies bij Protocol voor RDP – Remote Desktop Protocol. Bij Server vul je localhost in, of als verbinding maakt vanaf een ander systeem: het ip-adres. Achter Resolutie kies je bij voorkeur voor Clientresolutie gebruiken. Daarmee wordt de resolutie in Windows steeds aangepast aan de resolutie van je client, in dit geval de venstergrootte van Remmina.

Als gebruikersnaam vul je Docker in en het wachtwoord laat je leeg. Meldingen over certificaatfouten kun je negeren. Net als een eventuele melding dat de identiteit van de externe computer niet kan worden geverifieerd. Je kunt na het starten met je RDP-client overigens omschakelen naar volledig scherm. Dan kun je op het volledige scherm met Windows werken.

Met een RDP-client heb je betere prestaties en een betere beeldkwaliteit.

10 Extra beveiliging

Merk op dat er bij het werken met deze container met Windows een potentieel veiligheidsrisico ontstaat. Iedereen kan immers vanaf het netwerk jouw Windows-omgeving openen via een browser. En ook bij gebruik van een RDP-client is er nauwelijks een beveiliging. Er zijn wat manieren om dat op te lossen, bijvoorbeeld met een firewall of door het instellen van een wachtwoord. Het makkelijkst is om alleen verbindingen naar localhost toe te staan. Dat is het adres 127.0.0.1. In de configuratie voor Docker Compose kun je daarvoor onder ports de volgende aanpassingen maken:

Deze aanpassingen kun je doorvoeren met:

Daarna kun je alleen nog vanaf het systeem waarop deze Docker-container met Windows draait verbinding maken. Dit geldt bij deze aanpassingen zowel voor het verbinden met een browser als met een RDP-client.

Standaard kun je vanaf elk systeem verbinding maken.

11 Bestanden delen

Je kunt eenvoudig bestanden uitwisselen tussen de host en het Windows-systeem in de container. Hiervoor hoef je alleen de configuratie voor Docker Compose aan te passen. Bedenk welke map op de Linux-host je wilt delen met Windows in de container. In dit voorbeeld kiezen we /home/gertjan waar Ubuntu alle gebruikersbestanden bewaart. Koppel dan onder volumes die lokale map /home/gertjan met de map /data in de container:

Start de container met de veranderingen:

Blader dan in Windows naar Netwerk. Open host.lan. Hier zie je een overzicht met bestanden en mappen, wat correspondeert met /home/gertjan op de host. Zo kun je eenvoudig in Windows aan al je bestanden werken.

Je kunt bestanden delen tussen de host en de container met Windows.

macOS

12 Installatie macOS

Heb je het gemak ervaren van het werken met Windows binnen Docker, dan is het goed om te weten dat je vrijwel dezelfde procedure kunt volgen voor een installatie van macOS! We gebruiken de onderstaande configuratie. Merk op dat standaard macOS 13 wordt geïnstalleerd, bekend onder de naam macOS Ventura. Deze versie werd uitgebracht in 2022 en zou in deze situatie de beste prestaties geven. Je kunt ook macOS 14 of 15 proberen door het versienummer aan te passen. Voor details kun je de projectpagina op GitHub raadplegen.

Het configuratiebestand voor macOS in Docker Compose.

13 Installatie macOS Ventura

Start de container met:

Verwijs een browser naar poort 8006, op het lokale systeem is dat ook hier http://localhost:8006. Nu zal macOS op de achtergrond worden gedownload. Vervolgens verschijnt een menu. Kies Disk Utility en klik op Continue. Nu moet je de grootste schijf uit de getoonde lijst selecteren met de naam Apple Inc. VirtIO Block Media. Deze is standaard ongeveer 68 GB. Klik op Erase. Vul een herkenbare naam in en klik op Erase om de schijf daadwerkelijk te formateren met het APFS-bestandsformaat (Apple File System). Dit is binnen enkele ogenblikken voltooid. Klik op Done. Sluit het venster via het rode kruisje. Kies Reinstall macOS Ventura, klik op Continue en doorloop het installatieproces. Hierbij moet je akkoord gaan met de gebruiksvoorwaarden en de zojuist geformatteerde schijf selecteren.

We installeren macOS Ventura op de geformatteerde schijf.

14 Installatie afronden

Je moet bij de installatie van macOS wel extra veel geduld hebben, zeker als je het vergelijkt met de procedure voor Windows. De installatie vraagt veel tijd, al is het uiteraard een eenmalig proces.

De laatste stap na het kopiëren van alle bestanden is het instellen van je regio en taal. Ook kun je eventueel gegevens migreren of inloggen met je Apple ID. Zulke stappen kun je overslaan, als je niet heel actief in macOS gaat werken.

Als laatste maak je een account om binnen macOS mee te werken. Hierna verschijnt de desktop van macOS en kun je daadwerkelijk aan de slag. Het werkt in een browser relatief traag. Gebruik daarom een programma als RealVNC Viewer voor betere prestaties en een hogere resolutie. Om te verbinden hoef je alleen het ip-adres van het systeem in te voeren of je gebruikt localhost.

Met RealVNC Viewer haal je veel betere prestaties binnen macOS.

Losse containers

15 Overige toepassingen

In dit artikel draaien we een heel besturingssysteem via Docker. Maar er zijn ook losse toepassingen die je op vergelijkbare wijze via een browser kunt gebruiken. Een goed voorbeeld is Calibre, de bekende software voor het beheren van je e-books. In het artikel, Calibre via Docker: boekenplank op je server, kun je nog eens teruglezen hoe je deze toepassing kunt installeren en gebruiken via Docker.

Ook veel andere toepassingen kun je op vergelijkbare wijze via een browser gebruiken. Zo kun je bijvoorbeeld diverse browsers zoals Firefox of Chrome via Docker draaien. Je kunt dan veilig in een geïsoleerde omgeving browsen, los van de browser waarin je de toepassing gebruikt.

Visual Studio Code wordt ook vaak via een browser gebruikt. Dit wordt doorgaans op een server geïnstalleerd, zodat je binnen VSCode ook direct toegang hebt tot bijvoorbeeld configuratiebestanden of de programmacode waar je aan werkt. Een bekend voorbeeld is Home Assistant.

Er is een container voor PuTTY, handig als je incidenteel SSH-toegang nodig hebt. Ook HandBrake, de bekende tool voor het converteren van video’s, kun je via een container draaien. Verder bestaat er een container om via een browser met LibreOffice te werken.

Zulke containers maken de drempel om over te stappen naar bijvoorbeeld Linux wellicht een stuk kleiner. En bij een eventuele herinstallatie van je besturingssysteem hoef je geen rekening met de bewuste toepassing te houden.

Een ander interessant project is Kasm Workspaces. Hiermee kun je uiteenlopende toepassingen kiezen in een vaste downloadstek en draaien via een browser.

Met Kasm Workspaces kun je uiteenlopende toepassingen via je browser gebruiken.

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.