Een groeiend aantal bedrijven maakt gebruik van een responsible disclosure-beleid voor het afhandelen van datalekken. Volgens ethische hackers is dat een goede zaak, maar ‘RD-beleid’ is bepaald niet zonder fouten. In dit artikel gaan we daar wat dieper op in.

Mischa van Geelen was dertien jaar toen hij een lek in de website van VakantieVeilingen ontdekte. Het was het eerste lek dat hij ooit zelf ontdekte, en hij heeft er nu – vijf jaar later – meer dan 500 op zijn naam staan. Nog steeds vindt hij regelmatig softwarelekken in websites of bij bedrijven. Daarbij doorloopt hij de routine die zowel hij als het bedrijfsleven heeft verfijnd: een melding doen bij de juiste persoon, een duidelijke beschrijving van het probleem aandragen en een mogelijke oplossing voorstellen.

Inmiddels loopt hij tegen minder muren aan dan vroeger, toen responsible disclosure nog maar voor een handjevol bedrijven gebruikelijk was. Anno 2017 hebben veel bedrijven op een of andere manier spelregels opgesteld om ethische hackers tegemoet te komen. En terecht, want door datalekken op een nette en verantwoordelijke manier af te handelen voorkom je dat mensen misbruik maken van bugs in je systeem. Bovendien laat je aan de buitenwereld zien dat je professioneel met je it-security omgaat.

Whitehat-hackers

Van Geelen noemt zich inmiddels ‘ethisch hacker’, een titel die veel whitehat-hackers en beveiligingsonderzoekers die aan responsible disclosure doen zichzelf aanmeten. Hun dagelijks werk is in veel gevallen op een of andere manier gerelateerd aan het zoeken naar datalekken: ze werken freelance of in dienst als beveiligingsconsultants, of ze werken in de informatica. In sommige gevallen is het opsporen van datalekken deel van hun werk als pen-testers (‘penetration testers’), maar één ding hebben ze vrijwel allemaal gemeen: het ‘responsible disclosen’ van datalekken doen ze vrijwillig, vanuit een gevoel voor ethiek en een liefde voor veiligheid.

Steeds meer Nederlandse bedrijven tonen interesse in responsible disclosure als beveiligingsmethode. Het kan immers helpen veiliger te blijven tegen datalekken door juist samen te werken met hackers in plaats van ze als de vijand te zien. Bij responsible disclosure houden bedrijven en hackers zich zoals gezegd aan een aantal spelregels voor het melden van kwetsbaarheden in websites of systemen. Op die manier kunnen datalekken op een verantwoorde manier worden doorgegeven, wat moet leiden tot veiliger ict.

Veel van die spelregels liggen voor de hand: een hacker mag vrijelijk rondneuzen in een systeem zonder daarvoor te worden aangepakt, maar moet het bedrijf dan wel tijd geven een lek te dichten zonder het vroegtijdig openbaar te maken. Vanzelfsprekend mag daarbij geen schade aan het systeem worden veroorzaakt en mag de hacker geen persoonsgegevens kopiëren, als hij die vindt.

Een responsible disclosure-beleid kan per bedrijf verschillen, maar er zijn een paar regels die (bijna) altijd naar voren komen.

Garantie: De belangrijkste afspraak is de garantie dat het bedrijf het lek actief dicht en geen aangifte doet, en dat de hacker zich aan de afgesproken regels van het bedrijf houdt.

Uitleg: Een hacker moet het lek zo duidelijk mogelijk uiteenzetten, op een manier die volledig te reproduceren is.

Tijdspanne: Er moet een redelijke tijd zijn een lek te dichten: niet te lang, niet te kort. Houdt een bedrijf zich niet aan die tijd, dan mag de hacker het lek openbaar maken.

Houd het heel: Een hacker mag geen ddos- of bruteforce-aanvallen uitvoeren om een lek te ontdekken, geen gegevens kopiëren en niets in het systeem kapotmaken of permanent veranderen.

Scope: Een bedrijf geeft van tevoren aan welke onderdelen wel of juist niet beschikbaar zijn om kwetsbaarheden over te melden. Testomgevingen zijn bijvoorbeeld vaak uitgesloten van deelname en lekken in systemen met persoonsgegevens worden vaak urgenter behandeld of beter beloond.

Nationaal Cyber Security Centrum-leidraad

Het is moeilijk te zeggen hoeveel bedrijven in Nederland inmiddels een actief RD-beleid hebben. In elk geval maken alle Nederlandse overheidsinstellingen gebruik van een dergelijk beleid, verzameld onder de leidraad van het Nationaal Cyber Security Centrum (NCSC). De grote banken hebben eveneens een eigen beleid, net als de NS en de meeste verzekeraars. Grote bedrijven lijken steeds meer heil te zien in het tegemoetkomen van hackers die datalekken ontdekken en dat op een verantwoordelijke manier willen melden.

Maar belangrijker dan het aantal beleidsmaatregelen dat wordt opgesteld, is de houding van die bedrijven. “Toen ik vijf jaar geleden een melding deed bij ABN Amro, hadden ze geen responsible disclosure-beleid beschikbaar”, vertelt Mischa van Geelen. “Ze reageerden er zelfs heel vijandig op. ‘Wie ben jij? En waarom vertel je ons hoe we onze beveiliging moeten regelen?’, vroegen ze.” Volgens Van Geelen zien bedrijven anno 2017 de waarde van responsible disclosure in, onder meer omdat het niet meer de vraag is óf, maar wannéér je wordt gehackt.

Die manier van werken slaat bij steeds meer bedrijven aan. Het is namelijk een relatief goedkope manier om gaten in software op te sporen, zonder dat je daar een peperduur team aan pen-testers op hoeft los te laten en zonder dat je ontwikkelaars dagen kwijt zijn met bugfixes. Aan de andere kant geeft het hackers de kans hun eigen kennis op niveau te houden en dient het als een waardevol visitekaartje.

Veel hackers zijn immers blij met de mogelijkheid om een lek op een correcte manier te melden, zonder daarbij in de problemen te komen. Niettemin is responsible disclosure verre van perfect. Zoals je verderop kunt lezen, draait het idee volledig om wederzijds vertrouwen, zonder enige garanties dat de spelregels worden nageleefd.

Binnen de tijd

©PXimport

Een belangrijk punt in een RD-beleid is de tijd die een hacker het bedrijf gunt om een lek te dichten. In de meeste gevallen wordt die vooraf gespecificeerd in het beleid, maar bij uitzonderlijke situaties kan er ook in overleg een andere tijdspanne worden afgesproken. Met zo’n afspraak weten beide partijen waar ze aan toe zijn: de hacker weet daarmee dat zijn lek serieus wordt genomen en het bedrijf heeft een belangrijke motivatie om het lek ook daadwerkelijk te dichten – anders wordt het openbaar gemaakt en kan het makkelijk worden misbruikt. Maar wat is een realistische tijdspanne om een bug te fixen? En wie bepaalt dat? Als de hacker die het lek ontdekt daar anders over denkt dan het bedrijf, kan dat frictie opleveren.

Dat gebeurde bijvoorbeeld tijdens de Heartbleed-bug die begin 2014 werd ontdekt in OpenSSL. Het Finse onderzoeksbedrijf Codenomicon besloot Heartbleed wel te melden aan onder meer CloudFare, maar niet aan andere grote webdiensten die eveneens van OpenSSL gebruikmaakten. Daardoor werd een groot deel van het internet kwetsbaar voor de bug toen die eenmaal openbaar werd gemaakt.

Volgens sommige critici had Heartbleed dan ook niet zozeer met responsible disclosure te maken, maar met marketing van een tot dan toe relatief obscuur Fins beveiligingsbedrijf dat na bekendwording van het lek internationale aandacht kreeg. Codenomicon vond dat het rechtvaardig handelde door het lek te melden aan het Finse National Cyber Security Center, maar de afhandeling leidde tot een discussie over hoelang onderzoekers moeten wachten voordat zij een lek openbaar maken en aan wie je dat allemaal moet melden. Wie heeft dan de sterkste hand?

Beloning voor ethisch hacken

En daar komt de ethiek om de hoek kijken, zowel de kracht als de achilleshiel van responsible disclosure. Een goed RD-beleid zorgt dat het bedrijf een hacker tegemoetkomt, én andersom. Het mes moet in zo’n geval aan twee kanten snijden, maar buiten een ‘gentlemen’s agreement’ biedt een responsible disclosure-beleid geen enkele juridische garanties. In theorie kan een bedrijf ook na het repareren van een datalek aangifte doen tegen een hacker, en niets weerhoudt de hacker ervan om het lek alsnog vroegtijdig openbaar te maken. Je kunt je daarom afvragen wat de reden is dat hackers daaraan zouden meedoen.

Terwijl bedrijven een RD in de regel opstellen uit praktische of financiële overwegingen, doen whitehat-hackers voornamelijk aan RD voor de eer – al speelt er voor hackers wel meer dan alleen hun gevoel voor rechtvaardigheid en ethisch besef. Loran Kloeze, een ethisch hacker die onder meer bekend werd toen hij liet zien dat de Stemwijzer lek was, zegt dat ook hackers niet helemaal altruïstisch te werk gaan. “Hackers dragen het aantal RD’s op hun naam als een eremedaille, iets waarmee je kunt laten zien hoe goed je bent. Opdrachtgevers of klanten kijken juist daarnaar, niet naar een diploma. Een groot aantal disclosures op je naam is waardevoller dan welke opleiding dan ook.”

Daarom is een ‘hall of fame’ ook zo belangrijk. Daarop wordt een overzicht geplaatst van de hackers die een lek hebben gevonden en een korte beschrijving met wat er precies is gerepareerd. Niet dat zo’n website veel bezoekers trekt, maar dat is ook niet de bedoeling. Ethisch hackers kunnen zulke vermeldingen in hun eigen portfolio opnemen om te laten zien wat ze waard zijn.

©PXimport

Responsible disclosure gaat doorgaans gepaard met een beloning, maar wat dat concreet inhoudt, verschilt per bedrijf. Soms is het een klein geldbedrag, soms een t-shirt of een ander cadeautje –PCM-uitgever Reshift geeft bijvoorbeeld soms een Raspberry Pi-pakket weg voor het melden van een lek. Eigenlijk doet de aard van de beloning er ook niet toe, vindt Van Geelen. Toen hij een aantal jaren geleden na heel lang mailen en overtuigen een cadeaubon kreeg voor het melden van een lek bij ABN Amro (dat toen nog geen officieel RD-beleid had), voelde hij zich afgescheept.

“Ze bleven maar vragen: ‘Wat wil je dán?’ Ze begrepen het maar niet. Het ging me helemaal niet om die cadeaubon of om geld, of wat dan ook. Het enige wat ik wilde, is een oprecht bedankje.” Het is een sentiment dat bij meer hackers speelt. Serieus genomen worden, voelen alsof je hebt bijgedragen aan een veiliger wereld. Daarom was Van Geelen ook blijer met zijn eerste hack op VakantieVeilingen. Daarvoor kreeg hij niet alleen een cadeaubon, maar ook een stage aangeboden – iets waar hij in zijn verdere carrière veel meer aan heeft gehad dan aan een geldbedrag.

Loran Kloeze onderschrijft het feit dat de beloning niet het belangrijkst is. Kloeze richt zich sowieso grotendeels op overheidsinstellingen, en die geven geen geldbedragen weg maar enkel t-shirts. “Je doet het vanuit je ethisch besef en het feit dat je de wereld een stukje veiliger wilt maken.”

Geld verdienen met ethisch hacken

Toch is er een groeiende groep hackers die probeert te leven van dergelijke datalekken, al heb je het dan al snel over ‘bug bounty’s’ – een op het eerste gezicht identieke, maar toch iets andere tak van sport. Het zijn vooral grote techbedrijven met miljoenen gebruikers die geld over hebben voor het spotten van datalekken. Apple was daar vrij laat mee en begon pas halverwege 2016 met het uitloven van premies voor het vinden van bugs. Toch is Apple een van de interessantere bedrijven om datalekken bij te melden. Een lek in de boot firmware van iOS levert bijvoorbeeld al 200.000 dollar op.

Op die manier zijn er hackers die volgens Kloeze kunnen leven van hun bug bounty’s. “Als je wekelijks een bug van 250 euro vindt en eens per jaar een écht grote, dan kun je daar prima van leven.”

Daar staat tegenover dat het tegenwoordig steeds lucratiever wordt om bugs aan derde partijen te verkopen. Bedrijven zoals Zerodium bieden bijvoorbeeld het viervoudige van Apple voor eenzelfde lek in iOS. En voor een hacker is er maar één ding dat hem laat kiezen tussen 200.000 dollar van Apple en 1 miljoen van Zerodium: zijn gevoel. Kloeze: “Uiteindelijk wil je toch elke avond rustig slapen, en dat wordt voor velen een stuk lastiger als ze weten dat hun lek kan worden gebruikt door een regime als Noord-Korea. Net als gewone criminaliteit kun je ook hier de afweging maken, en dan is de vraag hoever je bereid bent te gaan.”

Volgens Mischa van Geelen zit het verschil hem voornamelijk in de houding van de hacker. “Bug bounty’s doe je voor het geld, maar responsible disclosure doe je vanuit een gevoel voor ethiek. Bovendien maakt het voor veel hackers ook niet uit of ze er geld voor krijgen; dat verdienen ze vaak ook wel met consultancy-werk.” En daarbij is een goed portfolio, met veel RD’s op je naam, juist een goed visitekaartje.

Er is ook een aantal bedrijven dat op professionele schaal op zoek gaat naar lekken, zoals Google, dat permanent beveiligingsonderzoekers in dienst heeft op de Project Zero-divisie. Project Zero komt regelmatig in het nieuws als het een lek heeft gevonden bij bijvoorbeeld Microsoft, waar de softwaregigant dan niet tijdig iets aan heeft gedaan.

Grijs gebied

Responsible disclosures bevatten in de meeste gevallen een belangrijke clausule over aansprakelijkheid, maar de regels rondom hacken en verantwoordelijkheid stroken niet altijd even goed met elkaar. Loran Kloeze zegt bijvoorbeeld alleen aan RD te doen met bedrijven die al een beleid hebben. Hij kijkt daarom met name op sites van de overheid, omdat die in samenwerking met het NCSC een duidelijk beleid heeft opgesteld dat voor alle sites geldt. Als een website of bedrijf dat niet heeft, komt Kloeze er niet aan. Om één simpele reden: hij wil niet in de problemen komen. “Een responsible disclosure-beleid nodigt een hacker uit om zonder angst voor repercussies op zoek te gaan naar een lek. Als er niet zo’n beleid is, dan heb je niks op zo’n website te zoeken.”

Volgens Kloeze is het überhaupt niet mogelijk om een datalek te vinden zonder dat je actief in een systeem loopt te porren, dus iedereen die een lek vindt in een website waar geen RD van toepassing is, is volgens hem per definitie al fout. “Als je een website gebruikt zoals die bedoeld is en dan een fout ontdekt, ja, dan mag je inderdaad wel even een mailtje sturen met ‘joh, let hier eens op’. Maar dat is vrijwel nooit het geval. Om een bug te vinden, moet je actief zoeken, testen, reproduceren en verschillende dingen proberen. Dan ben je al heel snel ongeoorloofd aan het rondneuzen op een systeem waar je niks te zoeken hebt, omdat je er niet voor bent uitgenodigd.”

Juridisch gezien is een responsible disclosure-beleid niet sluitend. Het zegt niks, behalve dan dat het bedrijf geen intentie heeft je te vervolgen – maar ook dat kan gewoon veranderen. Bovendien heeft het OM daar niets mee te maken, zegt Kloeze. “Dat kan altijd nog besluiten achter je aan te gaan, al is dat onwaarschijnlijk.” Er zijn nog geen gevallen bekend van veroordelingen voor hacking waarbij gebruik werd gemaakt van responsible disclosure.

Daar is Mischa van Geelen het niet mee eens. Hij ziet het beleid van het NCSC juist als richtlijn om als ethisch hacker te opereren – of een bedrijf nu een beleid heeft of niet. “Zolang je het volgens de regels speelt, moet je een lek gewoon kunnen melden. Dan houd je je natuurlijk aan alle regels: je zorgt dat je niks stuk maakt, dat je je lek niet openbaar maakt ... Als je dat doet, vind ik dat je het gewoon moet kunnen melden.”

Volgens het NCSC ligt de situatie iets genuanceerder en is de leidraad vooral bedoeld om bedrijven te stimuleren hun eigen beleid op te zetten, maar houdt het OM per geval wel rekening met ‘proportioneel en subsidiair handelen’.

Meerwaarde van responsible disclosure

De meeste hackers vinden dat responsible disclosure waardevol kan zijn voor bedrijven, al vindt Kloeze wel dat dat proportioneel moet zijn. “Voordat je meteen zo’n beleid opstelt, moet je je eerst afvragen of je dat überhaupt wel nodig hebt. De slager om de hoek heeft daar doorgaans weinig aan, maar dat verandert als hij bijvoorbeeld een koelcel heeft die hij via internet kan aansturen, of als hij een klantensysteem begint.”

Een responsible disclosure-beleid moet dan ook in verhouding staan met de data die je verwerkt, maar omdat steeds meer bedrijven in toenemende mate gebruikmaken van persoonlijke data, groeit de vraag naar een goede omgang eveneens. Niet alleen juridisch (bijvoorbeeld door de meldplicht datalekken), maar ook ethisch, zoals een goed RD-beleid.

Waar de hackers het eens zijn over de meerwaarde van zo’n beleid, zetten de meeste ook kanttekeningen bij de effectiviteit. Het is nooit dé definitieve oplossing voor het beveiligingsprobleem, denkt Mischa van Geelen. “Responsible disclosure is alsof je met hagel op je systemen gaat schieten, in de hoop dat er iets wordt geraakt. Je moet er nooit van uitgaan dat je daarmee volledig veilig wordt.”

Hij zegt daarom dat een goed RD-beleid eerder een toevoeging op het bestaande beveiligingsbeleid moet zijn. Dat bevestigt het NCSC: “Organisaties zijn zelf verantwoordelijk voor hun beveiliging, maar goede beveiliging is zo sterk als je zwakste schakel. RD kan een zeer belangrijke bijdrage leveren aan het ontdekken van zulke zwakke plekken.”

Daarnaast is het belangrijk te onthouden dat responsible disclosure-meldingen altijd door vrijwilligers worden gedaan, en dat die je niets verplicht zijn. Ze kunnen daarom nooit garanderen dat ze alle gaten uit je systeem vissen, maar een oprecht bedankje is wel het minste wat je voor ze kunt doen.

Responsible disclosure-beleid opzetten

Wil je tot slot voor je eigen bedrijf een responsible disclosure-beleid (helpen) opzetten? Denk dan aan de volgende zaken:

Scope: Geef aan welke onderdelen een hacker mag testen en welke niet. Vallen daar bijvoorbeeld ook testomgevingen onder?

Beloning: Bedenk welke beloning je een hacker geeft. Is dat een geldbedrag, een t-shirt of iets unieks van jouw bedrijf? Zorg ook dat je bepaalt voor welke meldingen je welke beloning geeft: niet alle lekken hoeven gelijkwaardig te worden behandeld.

Wall of fame: Hackers gebruiken een RD-melding ook op hun cv. Kom ze tegemoet door een publieke wall of fame op te stellen met wie je heeft geholpen met welk probleem.

Doe een pen-test: Als je je systeem meteen toegankelijk maakt voor iedereen, kan dat al snel tot veel reacties leiden. Laat je bedrijf daarom eerst pen-testen door een professioneel bedrijf, zodat de belangrijkste gaten kunnen worden gedicht.

Laat je RD-beleid nakijken: Er zijn genoeg ethische hackers die, al dan niet betaald, een RD-beleid voor je kunnen opstellen of er op z’n minst doorheen kunnen lopen.

Wees eerlijk: Wees eerlijk over je bug-fixes en je progressie. Houd de hacker op de hoogte, ook als het repareren onverhoopt langer duurt dan verwacht.

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.