Wie wat meer aandacht voor veiligheid heeft, slaat zijn encryptiesleutels en wachtwoorden niet op zijn pc op en maakt gebruik van tweefactorauthenticatie. De Nitrokey Pro 2 maakt dit mogelijk door de sleutels in hardware op te slaan. We legden deze kleine cryptostick op de pijnbank, en kunnen ondertussen niet meer zonder. Je leest erover in deze Nitrokey Pro 2 review.

Er zijn drie vormen van authenticatie die doorgaans zonder speciale hardware werken: wachtwoorden, encryptiesleutels en tweefactorauthenticatie met een ‘one-time password’. De eenvoudigste manier om hiermee te werken is respectievelijk je wachtwoord zelf onthouden, je encryptiesleutel op je pc opslaan (in het ideale geval is die sleutel zelf versleuteld via een wachtwoord) en een app voor tweefactorauthenticatie gebruiken zoals Google Authenticator of Authy.

Deze drie manieren hebben echter hun zwakheden. Mensen zijn notoir slecht in het onthouden van sterke wachtwoorden. Encryptiesleutels die op een pc opgeslagen zijn, vormen een risico omdat je niet alle software op je pc kunt vertrouwen. En je smartphone als tweede factor gebruiken is om dezelfde reden een risico omdat je niet alle apps op je smartphone kunt vertrouwen.

De Nitrokey Pro 2 van het Duitse bedrijf Nitrokey biedt een oplossing voor al deze zwakheden: je slaat je sleutelparen voor rsa of ecc en sleutels om eenmalige wachtwoorden te genereren in het kleine usb-stickje op en daar komen ze op geen enkel moment uit. Het genereren van geheime sleutels en alle rekenwerk ermee gebeurt in de Nitrokey zelf. Ook wachtwoorden kun je erin opslaan, zodat die niet de hele tijd op je pc staan.

Het apparaatje is met een pincode beveiligd en is ook beschermd tegen brute-force aanvallen. Niet alleen de software, maar ook de firmware en (een groot deel van) de hardware zijn opensource. Een van de versies van de Nitrokey heeft ook een onafhankelijk beveiligingsassessment doorstaan. Wij hebben de Nitrokey Pro 2 (49 euro) getest, maar er zijn ook nog andere modellen, bijvoorbeeld met versleutelde opslag erbij of met alleen ondersteuning voor FIDO U2F.

Aan de slag met Nitrokey 2 Pro

Wij gingen met de Nitrokey Pro 2 aan de slag op de mei 2019-update van Windows 10 en op Ubuntu 19.04. Het project biedt downloads aan van de Nitrokey App, ook voor macOS. Wij downloadden versie 1.4 van de GitHub-pagina met releases. Je hoeft het programma niet te installeren, je kunt het gewoon zo uitvoeren.

Als je het programma start en dan de Nitrokey in een usb-poort van je pc steekt, wordt die automatisch herkend als smartcard. Het eerste wat je dient te doen, is in Nitrokey App de standaard User PIN (123456) en Admin PIN (12345678) wijzigen. Dat doe je in het menu Configure. De User PIN dient minstens 6 cijfers lang te zijn (maximum 20) en de Admin PIN minstens 8 cijfers (eveneens maximum 20).

©PXimport

We staan even stil bij die pincodes, omdat die cruciaal zijn voor de beveiliging van je Nitrokey. Met de User PIN ontgrendel je de Nitrokey. Daarna krijg je toegang tot je wachtwoorden, onderteken en versleutel je data en vraag je eenmalige wachtwoorden op, de dagelijkse taken zeg maar. De Admin PIN heb je nodig voor beheertaken, zoals sleutels genereren of inladen.

Als je drie keer de verkeerde User PIN intypt, wordt de interne smartcard van de Nitrokey geblokkeerd. Je kunt dan alleen een nieuwe pincode kiezen door de Admin PIN in te typen. En als de Admin PIN drie keer verkeerd intypt, wordt de smartcard onklaar gemaakt: je Nitrokey is dan onbruikbaar en de erin opgeslagen sleutels zijn onbereikbaar.

Wachtwoordkluis

In het hoofdvenster van Nitrokey App krijg je toegang tot de wachtwoordkluis met een klik op Unlock Password Safe. Je dient daarvoor je User PIN in te typen. Daaronder vind je in het hoofdvenster overigens Lock Device, waarmee je de toegang weer intrekt.

In het tabblad Password Safe kun je nu bij Slot voor een van de zestien wachtwoordslots kiezen. Dit is voor velen te weinig om als wachtwoordkluis van al hun wachtwoorden te dienen, maar het is voldoende voor je kritieke wachtwoorden, bijvoorbeeld van je e-mail, je account bij PayPal of bij een cryptobeurs. Voor de rest kun je dan een softwaregebaseerde wachtwoordkluis gebruiken, zoals KeePass of Bitwarden.

Je geeft het slot dan een naam en vult een login en wachtwoord in. De naam kan maximum 11 tekens lang zijn, de login maximum 32 tekens en het wachtwoord maximum 20 tekens. Je kunt Nitrokey App ook een willekeurig wachtwoord laten genereren.

Er is helaas niet voorzien in browserintegratie. Je dient zelf Nitrokey App te openen, het juiste account in Menu / Passwords te selecteren en op het gewenste account te klikken. Nitrokey App kopieert het wachtwoord dan naar het klembord, zodat je het in de website kunt plakken. Na een minuut wordt het wachtwoord uit het klembord verwijderd.

©PXimport

Tweefactorauthenticatie

Naast een kleine wachtwoordkluis biedt de Nitrokey ook plaats aan 15 totp-slots en 3 hotp-slots. Dat zijn de algoritmes voor eenmalige wachtwoorden die in veel systemen voor tweefactorauthenticatie toegepast worden. Totp (Time-based One-time Passwords) is de techniek achter de meeste bekende implementaties van tweefactorauthenticatie, bijvoorbeeld bij Google, Twitter, Facebook, Dropbox, Microsoft en Nextcloud. Kijk op deze 2FA List of je favoriete website erbij staat. Voor de meeste mensen zijn 15 totp-sleutels ruimschoots voldoende.

Het is vrij eenvoudig om de Nitrokey voor tweefactorauthenticatie bij Google in te stellen; voor andere websites zal dat gelijkaardig werken. Op de pagina Beveiliging van je Google-account klik je onder Inloggen bij Google op Authenticatie in twee stappen om tweefactorauthenticatie in te schakelen. Je dient eerst een tweede factor zoals je telefoon in te stellen.

Daarna dien je onder het kopje Alternatieve tweede factor instellen voor Authenticator-app te kiezen en eronder op Instellen te klikken. We gaan die app niet gebruiken, maar de Nitrokey maakt van hetzelfde protocol gebruik, dus die is volledig compatibel met deze methode.

In de volgende stap geef je dan aan dat je een Android-telefoon hebt en daarna dat je de getoonde qr-code niet kunt inscannen. Je krijgt nu een sleutel in de vorm van een tekenreeks zoals ‘76ny iyup z2ch qx5u 3vji msot fgqy w3wx’ te zien. Deze sleutel is de ‘startcode’ op basis waarvan de eenmalige wachtwoorden gegenereerd worden.

In Nitrokey App kies je nu in het tabblad OTP Slot Configuration een vrij totp-slot, geef je het een naam en plak je de code in het veld naast Secret Key. Nadat je onderaan rechts op Save hebt geklikt en je Admin PIN hebt ingevoerd, kan je Nitrokey totp-codes voor je Google-account genereren.

Zodra je van Google nu de vraag om een totp-code krijgt, klik je in Nitrokey App op Menu / Passwords en dan op de gewenste account. Nitrokey App kopieert de totp-code dan naar het klembord, zodat je ze eenvoudig in je browser kunt plakken. Na twee minuten wordt de code uit je klembord verwijderd.

©PXimport

OpenPGP en S/MIME

Het laatste wat we met de Nitrokey wilden doen, is e-mails versleutelen en ondertekenen via asymmetrische encryptie. Ook hierin blinkt de Nitrokey uit, maar dit vereist wat voorbereidingswerk. Allereerst dien je een keuze te maken uit twee manieren: GnuPG (met het OpenPGP-protocol) of S/MIME (met X.509-certificaten, hetzelfde type als voor TLS/SSL).

De tools die je nodig hebt om met OpenPGP of S/MIME te werken, zijn niet helemaal compatibel. De makers van Nitrokey raden daarom aan om ze niet allebei tegelijk te gebruiken. En als je je Nitrokey met een PKCS#11-driver (voor S/MIME) geïnitialiseerd hebt, kun je de sleutels niet meer met GnuPG gebruiken. Ze raden daarom aan om je sleutels met GnuPG aan te maken.

Download Gpg4win, dat de Windows-versie van GnuPG en enkele bijbehorende tools bevat. Tijdens de installatie kun je kiezen welke extra tools je installeert. Wij lieten het bij de standaardkeuzes.

In de documentatie van nitrokey spreken de makers nog over het gebruik van GNU Privacy Assistant (GPA), maar de ontwikkelaars van Gpg4win raden het standaard meegeïnstalleerde Kleopatra aan.

Hoewel Kleopatra nergens in de documentatie van Nitrokey vermeld staat, vonden we in het forum wel verwijzingen. Het programma blijkt de Nitrokey out-of-the-box te ondersteunen. Na het menu Hulpmiddelen / Smartcards beheren geopend te hebben, kregen we na enkele keren op F5 te drukken de informatie over onze Nitrokey te zien, zoals het serienummer.

Ook de rest wijst zichzelf uit. Met een klik op Nieuwe sleutels genereren creëren we nieuwe OpenPGP-sleutelparen voor handtekeningen, sleutels en authenticatie. Dat gebeurt op de Nitrokey zelf, dus de geheime sleutel van elk sleutelpaar verlaat het apparaatje nooit.

©PXimport

Versleuteld e-mailen

Zodra we OpenPGP-sleutels op de Nitrokey hebben, kunnen we die voor e-mailversleuteling gebruiken. Dat kan in principe met elk programma dat OpenPGP ondersteunt. Wij probeerden dit uit met de e-mailclient Thunderbird uit de Mozilla-stal in samenwerking met de extensie Enigmail. Die is vanuit het menu Add-ons van Thunderbird te installeren.

Na een herstart van Thunderbird vind je Enigmail in zijn eigen menu. Klik daarin op Sleutelbeheer. Als je voorbereiding met Kleopatra correct gebeurd is, zie je hier je publieke sleutel. Klik je in dit venster op Bestand / Smartcard beheren…, dan krijg je informatie over je Nitrokey te zien. Dat is het teken dat je Nitrokey herkend is, en dat je aan de slag kunt gaan met Enigmail.

Enigmail werkt vanzelf met je Nitrokey samen. Het enige wat je nog hoeft te doen, is in de instellingen van je e-mailaccount OpenPGP-ondersteuning inschakelen. Wanneer je daarna een e-mail verstuurt en daarvoor kiest of dat in de instellingen als standaardgedrag ingesteld hebt, wordt die automatisch met de geheime sleutel op je Nitrokey ondertekend. Je krijgt dan eerst de vraag om je pincode in te voeren.

En ook als je een e-mail ontvangt die versleuteld is met je publieke sleutel, handelt Enigmail dit automatisch af: je krijgt weer de vraag om je pincode en de e-mail wordt dan met je bijbehorende geheime sleutel ontcijferd. Daarbij gebeuren alle bewerkingen op je Nitrokey zelf.

©PXimport

Conclusie

De Nitrokey Pro 2 is een handig stukje hardware waarmee je je beveiligingsniveau in één keer stevig opkrikt. De Nitrokey App ziet er wat gedateerd uit, maar werkt in de praktijk heel handig als toegangspoort tot de wachtwoordkluis en otp-generator.

Het is jammer dat de ingebouwde wachtwoordkluis maar plaats voor 16 wachtwoorden heeft. Ook de incompatibiliteit tussen GnuPG en PKCS#11 kan in sommige situaties wat roet in het eten gooien. Dat is niet de fout van de Nitrokey; maar voor sommige taken heb je GnuPG nodig en voor andere PKCS#11, en dat is dan wat lastig.

Maar het grootste pluspunt is dat de Nitrokey zich als een OpenPGP-smartcard gedraagt in het handige formaat van een usb-stick. De integratie met GnuPG en Thunderbird in combinatie met Enigmail werkt feilloos. Voor wie versleuteld e-mailt en dat volgens het boekje wil doen, is de Nitrokey Pro 2 een no-brainer.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Daarom speuren we een paar keer per week binnen een bepaald thema naar zulke deals. Ben je een camper- of caravanbeziiter? Dan hebben we voor jou een selectie gemaakt van compacte 24-inch televisies voor in die caravan of camper (of elke andere plek met beperkte ruimte)!

Ook op vakantie wil je af en toe een film kunnen kijken of op de hoogte blijven van de laatste ontwikkelingen via het nieuws op tv. Daarom kan een televisie in je camper of caravan best handig zijn. Maar welke moet je dan hebben? De ruimte is vaak wat beperkt, dus een 48-inch televisie zit er dan niet in. De helft daarvan blijkt echter een prima formaat, als het op het woongedeelte aankomt.

Salora CUBE24 

De Salora CUBE24 is een stijlvolle 24-inch HD Ready led-tv met Android TV. Met ingebouwde Chromecast en bluetooth biedt deze tv toegang tot streamingdiensten en draadloze connectiviteit. Dankzij HDR10-ondersteuning en Dolby-audio levert hij een helder beeld en rijk geluid. Drie HDMI-poorten en een slank ontwerp maken hem veelzijdig en geschikt voor diverse ruimtes. En dankzij Android TV kun je allerlei streaming-apps installeren, zoals Netflix of Disney+.

Philips 24PHS6808

Deze Philips 24-inch HD Ready-tv combineert eenvoud met slimme functies. Met Pixel Plus HD-technologie biedt hij scherpe beelden en levendige kleuren. De tv ondersteunt HDR10 en HLG, en beschikt over Dolby Atmos-geluid. Met drie HDMI-poorten en ingebouwde wifi is hij ideaal voor kleinere ruimtes.

Samsung UE24N4305AKXXC

Deze smart-tv van Samsung heeft een led-display en een helderheid van 400 cd/m. De tv beschikt over wifi, twee HDMI-poorten en een usb-aansluiting, en ondersteunt diverse digitale signalen. Dankzij het slimme besturingssysteem kun je op deze Samsung-tv ook al je favoriete streaming-apps installeren.

Thomson Google TV 24

Deze slimme tv van Thomson 24HG2S14C is een 24-inch HD Ready-televisie, voorzien van een lcd-display en direct-led-achtergrondverlichting. Hij ondersteunt meerdere digitale signalen en biedt zowel wifi- als ethernet-connectiviteit. Met een brede kijkhoek van 178 graden en een verversingssnelheid van 60 Hz levert hij goede beeldkwaliteit, zonder dat je voor dit toestel de hoofdprijs betaalt. Dankzij Google TV installeer je ook op deze televisie je favoriete (streaming-)apps. De televisie is geschikt voor het 12V-stroomnetwerk of de sigarettenaansteker in de caravan of camper.

Lenco DVL-2483BK

Deze veelzijdige Lenco DVL-2483BK is een HD Ready smart-tv met ingebouwde dvd-speler en 12V-adapter voor in de auto, waardoor deze tv ideaal is voor onderweg. Met HDR-ondersteuning, Dolby Digital Plus-geluid en een helderheid van 300 cd/m² biedt hij een prima kijkervaring. De tv draait op een Linux-besturingssysteem en is voorzien van diverse aansluitmogelijkheden. Ook hier is het erg prettig dat er een 12V-aansluiting aanwezig is, waardoor je deze televisie heel gemakkelijk op het interne stroomnetwerk van je caravan of camper of de sigarettenaansteker kunt aansluiten. Met de voorgeïnstalleerde apps van Amazon Prime, Deezer, Facebook, Netflix, Twitch en YouTube kun je bovendien meteen aan de slag.

De temperatuur in je koelkast is niet overal hetzelfde. Zet je alles zomaar ergens neer, dan is de kans groot dat eten sneller bederft of je onnodig ruimte verspilt. Door bewust te kiezen wat je waar plaatst, blijft je eten langer vers en houd je je koelkast overzichtelijk.

Lees ook: Is het tijd voor een nieuwe koelkast?

Hoe koud moet je koelkast eigenlijk zijn?

Op veel verpakkingen staat dat je voedingsmiddelen koel moet bewaren, bijvoorbeeld onder de 7 graden. Maar dat is eigenlijk te warm. De ideale temperatuur in de koelkast is 4 graden. Nieuwe koelkasten kun je vaak zelf instellen op een exacte temperatuur. Bij oudere koelkasten stel je de temperatuur in met een draaiknop, meestal van 1 tot 5 of 1 tot 7. Veel mensen denken dat stand 1 het koudst is, maar het is juist andersom: hoe hoger de stand, hoe kouder de koelkast. Staat je koelkast op 1 en is het niet koel genoeg? Kies dan een hogere stand.

Hoe koud of warm het precies is, kun je aan zo'n draaistand helaas niet aflezen. Een koelkastthermometer biedt dan uitkomst. Die laat zien of je de koeling moet bijstellen.

©Christopher Habermann

Waar in de koelkast is het het koudst?

Elke koelkast is zo ontworpen dat het onderin het koudst is. Ook achterin is het kouder dan voorin. Hoe hoger je komt, hoe minder koud het wordt – relatief gezien dan. De deur is de warmste plek, omdat je die vaak opent en sluit. Daardoor stroomt er telkens warme lucht naar binnen, wat de temperatuur op die plek minder constant maakt. Onderin, vlak boven de groentelade, bewaar je dus het best bederfelijke producten zoals vlees, vis en vleeswaren. Laat die het liefst in de originele verpakking of doe ze in een goed afgesloten zakje, zoals een ziplock. Heb je verstelbare planken? Zorg dan dat je genoeg ruimte maakt op deze onderste plank.

De groentela is voor: groenten!

Bij veel mensen liggen er flessen frisdrank of blikjes bier in de groentela. Logisch, want liggend past dat vaak net wat makkelijker en je pakt het snel. Wil je je groenten langer vers houden? Dan kun je die flessen en blikjes beter ergens anders bewaren en de groentela gebruiken waarvoor hij bedoeld is!

Wel of niet in de koelkast bewaren?

Hieronder vind je een lijst met populaire groenten en fruit die je wel en niet in de koelkast bewaart. Dit helpt bij het tegengaan van bederf én smaakverlies. Tip: twijfel je? Kijk of de groente of het fruit in de supermarkt buiten de koeling ligt. Dat is vaak een goede aanwijzing.

✅ Wel in de koelkast bewaren

• Bladgroenten zoals sla, spinazie en andijvie

• Broccoli en bloemkool

• Wortels

• Radijs

• Prei

• Boontjes

• Asperges

• Champignons

• Andijvie

• Rode biet

• Bosui

• Kool (wit, rood, spitskool)

• Bessen, aardbeien, frambozen (kort bewaren, bij voorkeur in het originele bakje)
  

❌ Niet in de koelkast bewaren

• Tomaten (worden melig en verliezen aroma)

• Komkommer (gevoelig voor kou, krijgt snel plekken)

• Paprika (kan rimpelen en zachter worden)

• Courgette

• Avocado (tenzij rijp en nog niet gegeten)

• Uien (liever droog en donker bewaren)

• Knoflook

• Aardappels

• Pompoen

• Aubergine

• Tropisch fruit zoals bananen, mango, ananas

• Citrusvruchten

Wat zet je op de andere planken?

Helemaal bovenin is een handige plek voor blikjes, pakjes en flesjes drinken. Ook sauzen en geopende potjes, zoals augurken of pesto, zet je hier overzichtelijk bij elkaar. Een plankje lager leg je producten als kaas, humus en andere spreads. Ook margarine, roomboter en bakboter kunnen daar prima staan — niet te koud en niet te warm.

Dit bewaar je in de deur van de koelkast

Onderin de deur van de meeste koelkasten zit een rek voor flessen en pakken. Daar zet je bijvoorbeeld melk, yoghurt, drinkzuivel, sap of witte wijn. Let er wel op dat de koelkast eigenlijk te koud is om wijn direct op drinktemperatuur te houden. Haal de fles dus op tijd uit de koeling.

Verder naar boven zit meestal een eierrekje en een paar smalle plankjes. Die zijn handig voor potjes mosterd, kleine flesjes met kappertjes of andere smaakmakers. Helemaal bovenin in de deur leg je Parmezaanse kaas of zakjes geraspte kaas

Ook interessant: Tips voor een lager verbruik van je koelkast en vriezer

Houd het netjes!

Vind je het lastig om je koelkast netjes te houden? Dan kunnen speciale koelkastdozen uitkomst bieden. Daarmee houd je bijvoorbeeld alle beleg bij elkaar, of kleine potjes. Er zijn ook handige mandjes die je onder een plank kunt hangen – ideaal om bijvoorbeeld tubes overzichtelijk te bewaren.

©Olga Yastremska, New Africa, Africa Studio

Algemene indelingstips

Na het herindelen ziet je koelkast er weer netjes uit. Maar om dat zo te houden, is wat discipline nodig. Zet gelijksoortige potten en flesjes bij elkaar en plaats aangebroken verpakkingen vooraan, zodat je ze als eerste gebruikt. Nieuwe potten saus hoeven nog niet in de koelkast; pas na openen zet je ze erbij. Heb je meerdere soorten vleeswaren of plakken kaas? Dan is een belegdoos met meerdere vakjes handig. Zo houd je alles overzichtelijk én goed afgesloten. Doe je net boodschappen en vul je een grotendeels lege koelkast weer helemaal? Zet dan tijdelijk de temperatuur iets lager, zodat alle producten snel afkoelen. En zet geen warme restjes rechtstreeks in de koelkast: die zorgen voor temperatuurstijging, wat slecht is voor de houdbaarheid van de andere etenswaren.

Toe aan een nieuwe koelkast?

Wil je vanaf het eerste moment een opgeruimde koelkast, denk dan vooraf goed na over hoeveel ruimte je nodig hebt. Hoe groot is je huishouden? Koop je vaak in één keer veel boodschappen of juist vaker kleine beetjes? Op witgoedsites kun je makkelijk filteren op inhoud van het koel- en vriesgedeelte. Let niet alleen op de inhoud in liters, maar ook op de indeling. Een slimme indeling met verstelbare planken of lades maakt vaak meer verschil dan een paar liter extra ruimte. Ook kun je meteen filteren op modellen die speciale vershoudzones hebben, voor groente/fruit en/of vlees en vis. Zo zie je meteen welke modellen passen bij jouw situatie.