Met Meshtastic kun je, geholpen door langeafstandsradio’s, een off-grid-communicatienetwerk maken dat niet afhankelijk is van de bestaande infrastructuur van mobiele providers. Het opensource-project groeit in populariteit. In combinatie met een smartphone of pc zet je voor enkele tientjes al een node op en neem je deel aan het mesh-netwerk, om bijvoorbeeld privé of in groepsverband te chatten of je positie uit te wisselen. We leggen uit welke hardware nodig is en hoe je alles opzet.

Voor radiocommunicatie zonder vergunning heb je bijvoorbeeld de portofoon: erg praktisch om contact te houden over relatief korte afstand, bijvoorbeeld tijdens een vakantie. De apparaten benutten de PMR-frequenties rond 446 MHz. De compacte walkietalkies zijn veel handzamer dan de ouderwetse 27MC-setjes ofwel ‘bakkies’. Die laatste zijn vooral nog in trek onder zendamateurs en in de truckerswereld.

Een ander handzaam en in populariteit groeiend systeem is LoRa, met het opensource-project Meshtastic als een van de bekendste toepassingen. In Europa wordt hiervoor voornamelijk 868 MHz gebruikt, al is 433 MHz ook een optie.

Voor Meshtastic gebruik je een node die berichten kan versturen, ontvangen en doorsturen. De basis voor een node is een kleine accessoire, aangestuurd door een microcontroller, die je veelal via bluetooth met een smartphone verbindt. Daarop gebruik je dan de Meshtastic-app. Voor ongeveer 20 euro kun je al klaar zijn.

Meshtastic gebruikt standaard een mesh-structuur waardoor je ook veel verder gelegen nodes kunt bereiken. Je kunt dan bijvoorbeeld privé of publiekelijk chatten, en details als je positie en sensorgegevens doorsturen. We nemen eerst de benodigde hardware met je door en laten daarna zien hoe je alles in de praktijk gebruikt.

1 De basis

Voor dit artikel gebruiken we drie apparaten. Als goedkope instap kozen we het populaire Heltec WiFi LoRa 32-ontwikkelbordje (ongeveer 20 euro), ook simpelweg Heltec V3 genoemd. Het heeft een klein, maar handig 0,96 inch oledscherm.

Van hetzelfde merk gebruiken we de Wireless Tracker v1.1 (24 euro). Die is grotendeels vergelijkbaar, maar voegt gps toe. De bordjes kunnen op een oplaadbare batterij werken. Zuiniger en robuuster is de LilyGo T-Echo, waarmee je direct op pad kunt.

We kochten de apparaten bij het Nederlandse TinyTronics. Je kunt ook Chinese webwinkels als Banggood en AliExpress overwegen. Verder hebben veel fabrikanten een eigen webshop.

Voor Meshtastic worden vaak ontwikkelbordjes gebruikt met een microcontroller, zoals de ESP32, en een langeafstandsradio, met een transceiver voor radiocommunicatie en een kleine antenne. Vaak is ook een klein schermpje ingebouwd voor bijvoorbeeld statusinformatie, waar Meshtastic overigens gretig gebruik van maakt.

De documentatie is doorgaans beperkt, dus je moet veel zelf uitzoeken. Gezien de groeiende populariteit van Meshtastic spelen de leveranciers wel steeds beter in op deze toepassing. Bovendien zijn er steeds meer kant-en-klare apparaten, waar we verderop wat voorbeelden van geven. Gelukkig zijn ook de voordeligste opties vrij eenvoudig inzetbaar.

Vaak sluit je eerst de antenne aan. Dan flash je de firmware via de pc. Vervolgens sluit je de voeding aan. Hierna koppel je een smartphone via bluetooth en doorloop je enkele configuratiestappen. Daarna kun je met Meshtastic aan de slag, en bijvoorbeeld berichten uitwisselen of een privékanaal maken. Dat doen we vanaf paragraaf 10, maar eerst duiken we wat dieper in de hardware.

Er zijn ook al kant-en-klare apparaten voor Meshtastic, zoals de LilyGo T-Deck.

2 Microcontroller

Als het gaat om bijvoorbeeld Arduino of ESPHome kom je vaak de ESP32-microcontroller tegen. De ESP32 is een voordelige en zeer breed verkrijgbare optie voor Meshtastic. De microcontroller zelf voorziet in bluetooth en wifi, terwijl ondersteuning voor LoRa wordt toegevoegd met een transceiver als de SX1272 of SX1276.

Zoals alle microcontrollers is de ESP32 relatief zuinig. Toch is het stroomverbruik wat hoog voor het werken op een batterij, zeker als ook gps wordt gebruikt. Het verschilt wel per model en is afhankelijk van de optimalisaties van de fabrikant.

In apparaten die meerdere dagen op een batterij of zonnepaneel moeten werken, krijgt de nRF52-chip van Nordic Semiconductor vaak de voorkeur. Die gebruikt maar een fractie van de stroom van een ESP32. In dit artikel gebruiken we hardware met zowel een ESP32 als nRF52840. Overigens is de Raspberry Pi ook een optie, met dank aan de Linux-ondersteuning, maar minder gangbaar.

©Tomasz - stock.adobe.com

De basis voor Meshtastic is een microcontrollerbord met bijvoorbeeld een ESP32, dezelfde chip als op deze populaire NodeMCU-ESP32.

3 Gps

Dankzij gps kun je de locatie van nodes zichtbaar maken, en daarmee bijvoorbeeld personen of objecten volgen. Ook zie je wat de afstand tot een andere node is en in welke richting je moet bewegen om elkaar te ontmoeten. Verder zorgt gps voor de exacte tijd, zonder externe bronnen te hoeven raadplegen, zoals een internettijdserver of een verbonden smartphone.

In sommige hardware is een gps-module ingebouwd. In andere gevallen kun je deze achteraf toevoegen. Een nadeel is dat zo’n module meer stroom nodig heeft. Gebruik je altijd een smartphone samen met Meshtastic? Dan kun je ook de gps-positie van die smartphone gebruiken.

In de Meshtastic-app kun je locaties van nodes op een kaart bekijken.

4 Scherm

Veel ontwikkelbordjes voor LoRa hebben een heel klein ingebouwd schermpje. Populair zijn schermen met oledtechnologie. Ook worden soms extra zuinige e-paperschermpjes gebruikt. Hoewel optioneel, zijn ze ontzettend praktisch bij het werken met Meshtastic. Zo zie je bijvoorbeeld de koppelcode bij het koppelen via bluetooth. Ook kun je details aflezen, zoals de status van de batterij en gps, versie van de firmware en het aantal verbonden nodes. Inkomende berichten zie je direct op je schermpje. Je kunt bladeren door nodes die hun positie meesturen, waarbij je ziet in welke richting een node zich bevindt en wat de afstand tot die node is.

Ontwikkelbordjes voor Meshtastic hebben vaak een klein scherm, zoals dit exemplaar van Heltec.

5 Voeding

Voor voeding kun je een netadapter via usb aansluiten of onderweg via een powerbank. Die zijn in allerlei capaciteiten beschikbaar, ook in grotere capaciteiten van 10.000 of 20.000 mAh.

Een alternatief is een batterij. Veel bordjes hebben een connector voor bijvoorbeeld een Li-ion- of Li-Po-batterij van 3,7 volt. Maar ook 18650-batterijen worden soms gebruikt: enkele bordjes hebben een batterijhouder voor dat type.

Bij de twee Heltec-bordjes die we gebruiken, wordt een aansluitkabel voor een batterij bijgeleverd. Koop je een batterij met afwijkende connector, dan kun je de draadjes eventueel doorknippen en solderen op de bijgeleverde aansluitkabel. Let uiteraard wel goed op de polariteit.

Kant-en-klare apparaten hebben vaak een ingebouwde batterij. Ook dan is een powerbank overigens een handige back-up!

©vadish - stock.adobe.com

Een powerbank is erg praktisch onderweg, ook voor het voeden van je Meshtastic-apparatuur.

6 Antenne

Bij de door ons gebruikte apparaten is een antenne bijgeleverd, zoals gebruikelijk. Helaas zijn zulke exemplaren zelden optimaal getuned voor de gewenste frequentie. Wil je dat testen? Hier zijn relatief voordelige analyzers voor, zoals een NanoVNA (ongeveer 60 euro).

Vooral over langere afstanden zonder directe zichtlijn valt het bereik vaak tegen. Voor minder dan een tientje kun je al een flinke kwaliteitssprong maken. Je kunt daarbij afgaan op tests en aanbevelingen van andere gebruikers. Kijk wel specifiek naar antennes voor de gekozen frequentie (zoals 868 MHz). Voor de twee Heltec-bordjes kozen we een eenvoudig alternatief met mannelijke SMA-connector. Die past direct in het verloopkabeltje en kan ook op bijvoorbeeld de LilyGo T-Echo worden geschroefd.

De plaatsing van een antenne is natuurlijk ook belangrijk: hoger en met directe zichtverbinding is altijd beter. Voor thuis is een buitenantenne een goede optie.

Kleine antenne met SMA-connector en verloopkabeltje naar het ontwikkelbord.

7 Firmware flashen

De eerste stap is het flashen van de laatste firmware voor Meshtastic, ook als er al een oudere versie aanwezig is. Sluit voordat je aan de slag gaat eerst de antenne aan, om de gevoelige radio niet te beschadigen. Sluit het apparaat daarna via usb aan op de pc. Drivers zijn meestal niet nodig, maar controleer dat in Windows via Apparaatbeheer. Indien nodig installeer je alsnog de drivers, zoals de CP210x Universal Windows Driver voor de bordjes van Heltec.

Bezoek vervolgens de Web Flasher. Selecteer het merk en type onder Device, en kies de firmware onder Firmware. Meestal zul je de laatste release onder het kopje Stable kiezen. Eventueel kun je een alpha-release proberen, om bepaalde problemen op te lossen of nieuwe mogelijkheden uit te proberen.

Klik hierna op Flash. Zet een vinkje bij Full Erase and Install. Klik dan op Erase Flash and Install. Selecteer de seriële poort waarop het apparaat is aangesloten en klik op Connect. Na enkele minuten staat de firmware op het apparaat. Je kunt dit volgen via het venster. Er zijn meestal geen extra handelingen nodig.

Via de browser voorzien we het apparaat van nieuwe firmware.

8 Webclient

Er ontbreekt één cruciale instelling: de regio voor LoRa. Hiervoor duiken we in de configuratie. We gebruiken de browser, maar via de app kan het ook. Sluit het apparaat weer aan via usb. Open dan de webclient van Meshtastic en klik op New Connection. Ga naar Serial en klik op New Device. Selecteer de COM-poort waarop het apparaat is aangesloten. Hierna kun je verbinden met het apparaat. Open Config in het menu en zorg dat Radio Config is geselecteerd. Ga vervolgens naar het tabblad LoRa. Onder Region selecteer je EU_868. Dat zijn de regio en frequentie die we gaan gebruiken.

Klik rechtsboven op het icoontje voor opslaan: je node zal daarna herstarten, wat je ook op het schermpje ziet. Verander eventueel ook de naam van de node. Daarvoor klik je, boven de menu-opties, op het icoontje met een penseeltje. Je kunt zowel een lange als korte naam (maximaal vier karakters) invullen. We laten de andere instellingen nog ongemoeid.

Via de webclient kun je onder andere de configuratie voor de radio wijzigen.

9 Meshtastic-app

We richten ons nu verder op de app, maar de webclient blijft natuurlijk een optie, met vergelijkbare mogelijkheden. Installeer de app (Android of iOS) op je smartphone. Hier gebruiken we de Android-versie.

Zorg dat bluetooth actief is. Open dan de Meshtastic-app en blader naar het meest rechter tabblad. Klik op het plusteken om een apparaat toe te voegen en maak verbinding.

De gevonden naam correspondeert met de ingestelde naam die je ook op het schermpje van je apparaat ziet, in dit voorbeeld de LilyGo T-Echo. Voer bij het verbinden de koppelcode in die nu op het schermpje van het apparaat wordt getoond.

Je kunt de app overigens met verschillende Meshtastic-apparaten gebruiken, handig als je er meerdere gaat instellen, maar er is er steeds maar één gekoppeld. Voor de initiële configuratie kun je eventueel in hetzelfde scherm de regio instellen. Voor uitgebreidere instellingen ga je via het menu (de drie puntjes rechtsboven) naar Radio configuratie.

Je kunt met de app uiteraard ook de configuratie van je node aanpassen.

10 Werken met de app

Meshtastic ondersteunt tot acht kanalen, wat je kunt zien als chatgroepen. De ingestelde kanalen zie je op het eerste tabblad. Wij kozen voor elke node de standaardinstellingen. Hierdoor nemen ze slechts deel aan één kanaal: het publieke kanaal genaamd LongFast. Daar nemen ook veel andere nodes aan deel.

Merk op dat LongFast ook de naam van de meest gebruikte preset is. De preset (zoals LongFast, LongSlow en ShortFast) geeft aan waarmee je de balans tussen bereik en snelheid kunt zoeken. Hier zul je doorgaans alleen in specifieke situaties van afwijken. Alle nodes moeten namelijk dezelfde preset hebben om te kunnen communiceren. Voor het publieke kanaal moet je daarom niet afwijken van de LongFast-preset. Je ziet alle nodes (binnen bereik) en details op het derde tabblad.

Het bewuste kanaal is bij de standaardinstellingen ook het primaire kanaal. Alleen over het primaire kanaal worden, indien beschikbaar, extra details over nodes doorgespeeld, zoals de gps-positie en telemetrie. In paragraaf 13 gaan we dit aanpassen, zodat we een privékanaal hebben om te chatten, waar óók de (mogelijk privacygevoelige) gegevens over worden gestuurd.

Op het derde tabblad kun je nodes waarvan de positie bekend is op een kaart bekijken. Via het vierde tabblad kun je kanaalgegevens delen via een link of QR-code of inlezen door een QR-code te scannen. Op het laatste tabblad beheer je de verbinding.

Via een tabblad kun je alle gevonden nodes en beschikbare details inzien.

11 Positiebepaling

Zoals de app al duidelijk maakt, wordt bij Meshtastic vaak gebruikgemaakt van gps. Om de instellingen te zien, open je Radio configuratie en ga je naar Position. Voor de positiebepaling kun je een gps-module gebruiken, maar ook de locatie van een gekoppelde smartphone. Voor dat laatste moet je de Meshtastic-app wel toegang geven tot je gps-locatie.

Vaak zal een smartphone makkelijker een positie bepalen, omdat de positiebepaling wordt ondersteund door mobiele netwerken en wifi-netwerken in de omgeving. In afgelegen gebieden ontbreken die netwerken, en werkt een gps-module vaak net zo snel en soms nauwkeuriger. Je kunt via de instellingen eventueel ook een vaste locatie instellen. Zet in dit geval een vinkje bij Use fixed position en vul de gewenste gps-positie in bij Latidute en Longitude. Deze waarden kun je in Google Maps achterhalen door ergens met de rechtermuisknop op de kaart te klikken.

Je kunt op verschillende manieren gebruikmaken van positiebepaling via gps.

12 Telemetrie

Binnen Meshtastic kun je ook gebruikmaken van telemetrie. Daarvoor nemen we de LilyGo T-Echo met BME280-sensor als voorbeeld. Hiermee kun je de temperatuur, luchtvochtigheid en luchtdruk registreren en doorgeven. Voor deze opties ga je weer naar Radio configuratie. Kies dan onder het kopje Module configuratie de optie Telemetry. Zet een vinkje bij Environment metrics module enabled. Daarmee komen deze meetgegevens beschikbaar voor de node. Zet optioneel een vinkje bij Environment metrics on-screen enabled. Daarmee zie je meetwaardes ook op het kleine schermpje van het apparaat. Klik daarna op Verzenden. In het overzicht met nodes zullen de meetwaardes bij deze node zichtbaar zijn.

Voor nodes kun je, indien beschikbaar, sensorgegevens doorgeven, bijvoorbeeld de temperatuur en luchtvochtigheid.

13 Publieke en privékanalen

Zoals aangegeven, nemen we met de standaardinstellingen deel aan één publiek kanaal LongFast, dat ook het primaire kanaal is en waarover ook de gps-positie wordt gestuurd. We willen die details via een privékanaal sturen, waarin we ook privé kunnen chatten. Daarnaast willen we toegang tot het publieke kanaal hebben.

Hiertoe ga je in de Meshtastic-app naar Radio configuratie. Kies Channels en voeg als eerste een nieuw publiek kanaal toe. Klik daarvoor op het plusteken en accepteer de standaardwaardes zoals de naam (LongFast) en encryptiesleutel (in het veld PSK). Kies Opslaan.

Je ziet nu twee kanalen die beide LongFast heten. Het bovenste kanaal is het oude publieke (en primaire) kanaal. Daarvan maken we het privékanaal. Klik erop en verander de naam naar bijvoorbeeld Privé. In het veld PSK zie je een willekeurige encryptiesleutel. Kies Opslaan.

Het kanaal is nu privé dankzij die encryptiesleutel, maar blijft wel het primaire kanaal, waarover onder meer de gps-positie wordt gestuurd. Maak desgewenst nog meer privékanalen, bijvoorbeeld voor buren of familieleden, met ook weer een unieke encryptiesleutel. Belangrijk: maak alle wijzigingen definitief door in het overzicht op Verzenden te klikken.

We voegen een tweede kanaal genaamd LongFast toe dat het nieuwe publieke kanaal wordt.

14 Kanalen delen

De kanalen met encryptiesleutel zijn privé. Alleen mensen met die encryptiesleutel kunnen het kanaal en de berichten daarin zien. Om dat te regelen, kun je jouw kanalen delen via een QR-code. Hiervoor open je het derde tabblad in de app. Selecteer de kanalen die je wil delen. Gebruik op een ander toestel vervolgens de optie Scannen, op ditzelfde tabblad.

Nu kun je de QR-code scannen. Kies Replace om de huidige kanalen te vervangen door de nieuwe en klik op Bevestig. Hierna zal de radioconfiguratie overigens worden aangepast en zal het apparaat herstarten. Je gps-positie is door de gemaakte aanpassingen alleen beschikbaar voor mensen die toegang tot het primaire kanaal hebben dat we Privé hebben genoemd.

Het kan wel zijn dat je nog oude opgeslagen gps-posities ziet. Deze kun je verwijderen door het menu Radio configuratie te openen en dan de optie NodeDB reset te kiezen. Je kunt uiteraard ook nog via het publieke kanaal LongFast chatten.

Via een QR-code kun je eenvoudig kanalen toevoegen op een ander toestel.

15 Uitbreidingen voor Meshtastic

Meshtastic kun je op verschillende manieren uitbreiden. Zo kun je de netwerkdekking vergroten door de openbare MQTT-server te gebruiken, die het Meshtastic-netwerk feitelijk via het internet kan overbruggen.

Er bestaan ook diverse modules die al zijn ingebakken in de firmware en daarom in de configuratie zijn terug te vinden. De Detection Sensor maakt het mogelijk een bepaalde GPIO-pin te bewaken, bijvoorbeeld een deur- of bewegingssensor. Bij een trigger wordt een notificatie via het mesh-netwerk gegeven.

Met de module External Notification kun je via bijvoorbeeld een speaker- of buzzer-melding maken van de ontvangst van een bericht. En met de module Canned Message kun je vooraf gedefinieerde berichten versturen zonder dat je de smartphone nodig hebt. Het bericht kun je via een aangesloten draaiknop selecteren.

De module Traceroute laat zien via welke nodes een bericht wordt verzonden. Tot slot zijn integraties mogelijk met andere software, zoals ATAK (via een plug-in) en Home Assistant (via MQTT).

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.