Wanneer iets gratis wordt weggegeven, ben jij het product. Dat werd pijnlijk duidelijk met de upgrade naar Windows 10. Het besturingssysteem verzamelt en deelt informatie over jouw gebruik met in elk geval Microsoft. Veel van de functies kun je uitschakelen, maar lang niet alles. Dat pakken we aan.

Windows 10 is de eerste versie van het besturingssysteem met ingebouwde spyware. Het controleert en logt bijvoorbeeld continu je locatie en al jouw activiteiten en deelt deze gegevens met zichzelf en derden. Er is veel kritiek op deze handelswijze, maar Microsoft lijkt er doof voor. In een blogpost licht het bedrijf slechts toe dat het die gegevens verzamelt om "het product Windows beter voor jou te laten werken" en dat je "als gebruiker zelf bepaalt welke informatie wordt verzameld". Lees ook: Zo claim je je recht op privacy terug.

Maar de realiteit is anders: slechts een deel van de gegevensverzameling kun je uitschakelen, een ander deel niet of alleen tegen een te hoge prijs. Zo is de SmartScreen-techniek die websites scant op phishing- en malware een prima zaak, maar waarom moet de informatie over elke site die je bezoekt, ook meteen gedeeld worden met Microsoft zelf? Tevens heeft elke Windows 10-pc een uniek reclame-ID dat gebruikt wordt om de pc anoniem te identificeren, maar wat als je helemaal die reclames niet wilt, ook niet anoniem?

©PXimport

De privacyopties in Windows 10 waarmee je een deel van de spyware kunt uitschakelen.

Hoe gek Microsoft denkt dat we zijn?

Een belangrijke rol in de Microsoft-spyware is weggelegd voor een service genaamd DiagTrack. Een service is een onderdeel van Windows die ongemerkt op de achtergrond zijn werk doet. Er zijn talloze services, vaak nuttig, maar deze DiagTrack is de service die op de achtergrond privégegevens, de browse- en zoekgeschiedenis en informatie over de pc verzamelt en deelt met Microsoft. Veel gebruikers spoorden de service daarom op en schakelden die uit. Toen Microsoft in november een grote update voor Windows 10 uitbracht, bleek die service ineens verdwenen, ook op de pc's van mensen die de service niet zelf uitgeschakeld hadden.

Had Microsoft geleerd? Integendeel, helaas. Microsoft bleek de spionageservice met de update namelijk slechts een andere naam gegeven te hebben én op alle pc's weer ingeschakeld. Oók pc's waar de dienst wél was uitgeschakeld. En dat zonder de gebruiker hierover te informeren. Een pijnlijk praktijkvoorbeeld van hoe het bedrijf tegenwoordig omgaat met (privacy)klachten van gebruikers: negeren, in de doofpot stoppen en waar nodig verbergen. Terwijl Microsoft juist zei voornemens te zijn extra veel te luisteren naar feedback van gebruikers bij de ontwikkeling van Windows 10.

DiagTrack uitschakelen

Voor wie het wil controleren: DiagTrack (oftewel Diagnostic Tracking Service) heet nu 'Connected User Experiences and Telemetry'. Een mooiere naam voor dezelfde drol. Wil je deze service alsnog of opnieuw uitschakelen? Druk op het toetsenbord de toetscombinatie Windows-toets+R in. Voer in het uitvoeren-vak het commando services.msc in gevolgd door Enter. Zoek in de lijst met services naar Connected User Experiences and Telemetry. Dubbelklik erop en kies Stoppen. Zet het Opstarttype daarna op Uitgeschakeld.

Wapen jezelf

Kortom. Microsoft lijkt niet het beste met z'n gebruikers voor te hebben. Kun je er dan niets tegen doen? Jazeker wel. Je kunt op zoek gaan naar de verschillende opties voor de privacygevoelige functies en die uitschakelen. Dat is niet moeilijk, maar Microsoft heeft er vermoedelijk bewust voor gekozen alle voor privacy belangrijke opties te verspreiden over een groot aantal onderdelen binnen de instellingen. Je moet dus op zoek en er is flinke kans dat je er een of enkele mist wanneer je niet trouw een lijstje afwerkt.

Een deel van die dataverzameling is in de instellingen van Windows 10 uit te schakelen. Een volledige beschrijving van hoe dit moet en hoe je een aantal belangrijke privacyschenders in de Windows-instellingen de kop omdraait, vind je op onze website.

Tools die helpen

Er is een flink aantal programma's verschenen die helpen de privacyopties in Windows 10 te beheren. Wees kritisch welke je download en installeert. Installeer zeker privacytools alleen van vertrouwde websites en controleer elke download via VirusTotal.com (zie kader Malware-alarm?) op malware voordat je het programma installeert. Gebruik de installatieopties om ongewenste extra software weg te laten.

Malware-alarm?

We noemen in dit artikel een drietal tools die je kunnen helpen met tegengaan van spionage door Windows. Deze hebben we natuurlijk alle drie door VirusTotal.com laten beoordelen. VirusTotal is een dienst (tegenwoordig van Google) die sites en software kan scannen op de aanwezigheid van virussen en malware en daar de producten van tientallen verschillende beveiligingsbedrijven voor gebruikt. VirusTotal rapporteert dat Destroy Windows 10 Spying helemaal schoon is. Van DoNotSpy10 zijn twee versies: de donatieversie van 5 dollar is schoon, maar de gratis versie wordt terecht melding gemaakt van de aanwezigheid van adware. Tijdens de installatie kun je overigens voorkomen dat deze OpenCandy-reclamesoftware op je systeem komt te staan. Bij W10Privacy geven twee van de ruim vijftig scanners van VirusTotal een melding, maar we gaan ervan uit dat dat een vals positief is.

Maar het kan dus gebeuren dat je beveiligingssoftware bij het downloaden van deze programma's alarm slaat, zelfs als VirusTotal de software als veilig classificeert. Dat heeft ermee te maken dat de heuristische scanner van sommige beveiligingssoftware het installatiebestand onterecht aanmerken als onveilig.

Destroy Windows 10 Spying

De titel van deze tool is even vanzelfsprekend als de werking en dat is goed. Want je wilt gewoon het spioneren stoppen en deze regelmatig bijgewerkte tool doet dat. Download Destroy Windows 10 Spying (DWS) via de groene knop met Latest release op http://dws.wzor.net (scrol daarvoor iets naar onder). Op de site staat ook een link naar de broncode (source code) die op Github is gepubliceerd. DWS is namelijk opensource, wat zeker bij een tool als dit een geruststelling is. Daarbij is het een portabele app, geen installatie-ellende dus, het bestand DWS_Lite.exe opstarten is voldoende. DWS verwijdert alle spyware die door Microsoft is ingebouwd in Windows 10 (en ook in Windows 7, 8 en 8.1). Sommige delen worden echt verwijderd, daar waar dat niet kan worden ze uitgeschakeld.

©PXimport

Destroy Windows 10 Spying is opensource, wat een gerust gevoel geeft.

Phone home-firewall

Een belangrijke rol in DWS is weggelegd voor het hosts-bestand en de Windows Firewall. Hoewel heel verschillend kun je met beide onderdelen uitgaande verbindingen aanpassen. Met de firewall kun je ze gericht stoppen, met het hosts-bestand kun je ze omleiden. Het hosts-bestand bevat een reeks namen van servers en websites en bijpassende IP-adressen. Door hier sites aan toe te voegen of verwijzingen te veranderen kun je niet alleen onbetrouwbare websites blokkeren, maar ook de communicatie met de eigen servers van Microsoft.

DWS past zowel de Windows Firewall als de verwijzingen in het hosts-bestand zo aan dat IP-adressen van Microsoft-servers, waar de logs van jouw computergebruik naartoe worden gestuurd, geblokkeerd worden. Voor wie vooraf een kopie wil veiligstellen: het hosts-bestand is in Windows te vinden via C:\Windows\System32\Drivers\etc\hosts.

©PXimport

Het hosts-bestand is al sinds de Windows NT-jaren een veelgebruikt middel om de communicatie door Windows te beïnvloeden.

Office 2016 Spyware

Niet alleen Windows, maar ook Office houdt bij wat je allemaal doet met de pc. Zo worden de namen van de documenten die je opent, de add-ins die je gebruikt en ook systeem- en gebruikersinfo weer met Microsoft gedeeld. Ook metadata van documenten wordt bekeken, maar niet de inhoud. Destroy Windows 10 Spying biedt bij de Extra functies ook een optie UitschakelenOffice 2016 Telemetry waarmee je deze kunt uitschakelen. De functie is echter nog erg experimenteel en Office is erg gevoelig. DWS waarschuwt zelf al dat het uitschakelen van deze Office-spyware kan leiden tot het niet meer correct werken van Office en we kunnen dat helaas bevestigen.

©PXimport

De dataverzameling van Office laat je beter ongemoeid.

Apps afsluiten

De functies van DWS vind je op het tabblad Instellingen. De bovenste zeven functies in de versie die wij getest hebben, hebben allemaal impact op de privacyinstellingen en richten zich dus nadrukkelijk op de spionage door Microsoft. De onderste functies doen dat niet, deze richten zich op de Metro-apps. Opnieuw stop je de spionage en vooral het loggen van het gebruik door deze apps. Wil je ook deze apps verwijderen, zet dan een vinkje bij Verwijder Windows 10 Metro Apps. Pas dan worden de onderste functies actief en kun je in dit geval ook apps uitsluiten.

Ga dan naar het tabblad Start en klik op Destroy Windows 10 Spying om Windows zo aan te passen dat de spionage wordt gestopt. DWS laat vervolgens heel duidelijk zien wat er allemaal wordt aangepast, welke wijzigingen in de firewall, aanpassingen in het hosts-bestand, het is allemaal regel voor regel te volgen. Aan het einde laat hij zien welke acties zijn gelukt.

Windows Update

Windows 10 is volgens Microsoft niet langer een product, maar een service. Het verschil is dat een service altijd geüpdatet wordt, een product niet. Een product koop je en gaat dan lange tijd ongewijzigd mee, een service kan elk moment worden aangepast. Deze verandering is goed te merken aan Windows Update. In plaats van een patchdag elke maand, komen er nu continu updates uit. En ook het verschil vervaagt tussen een update om problemen op te lossen en een update die functies toevoegt. Een update kan ook nieuwe privacygevoelige functies toevoegen aan Windows of een instelling aanpassen. Dat geldt zeker ook voor de grote updates die Microsoft nu ongeveer elk half jaar wil uitbrengen, zoals de november-update waarmee echt nieuwe functies aan Windows werden toegevoegd, maar waarmee ook de DiagTrack-spywareservice werd hernoemd en ingeschakeld.

©PXimport

Windows Update is niet meer de onverdachte systeemverbeteraar die het lange tijd is geweest.

Risico

Wil je er zeker van zijn dat je geen nieuwe spyware van Microsoft ontvangt of dat men met een update, spionagefuncties die uitgeschakeld waren weer activeert dan kun je natuurlijk zelf Windows Update uitschakelen en ook DWS kan dat doen. Op het tabblad Extra functies vind je ook een knop om met één klik Windows Update uit te schakelen. Dit is echter wel een functie om goed over na te denken en eerlijk gezegd raden we dit af. Schakel je Windows Update uit, dan betekent dat je bewust het risico neemt dat bekende kwetsbaarheden in Windows (inclusief degene die al misbruikt worden door malware of hackers) op jouw pc niet opgelost worden. Het gevolg daarvan kan zijn dat je in je streven Microsoft buiten de deur te houden juist andere partijen met veel meer vriendelijke bedoelingen toelaat. Een te groot risico.

Als alternatief kun je regelmatig DWS nog eens starten en zijn werk opnieuw laten doen. Doordat DWS bij het opstarten controleert of er van het programma zelf niet een nieuwere versie beschikbaar is en die dan snel download, profiteer je dan bovendien ook nog van mogelijke nieuwe of verbeterde antispionagefuncties die zijn toegevoegd.

DoNotSpy10

Een handige alternatieve tool en duidelijk minder ingrijpend dan Destroy Windows 10 Spying is DoNotSpy10. Wil je het programma gratis gebruiken, vink dan tijdens de installatie de OpenCandy-reclamesoftware uit. Voor een paar euro koop je een OpenCandy-vrije versie. Je downloadt deze advertentievrije editie van DoNotSpy10 hier.

Nieuw in vergelijking met een eerdere versie is de kleurcodering die de verschillende opties meekrijgen. Opties die zonder meer veilig uitgeschakeld kunnen worden zijn groen, de opties met iets meer risico of opties die ook echt de functionaliteit van Windows 10 raken, zijn oranje of rood. Zeker de rode zijn alleen met grotere terughoudendheid te gebruiken, al is het wel handig dat je ook die vanuit dit ene overzicht kunt instellen. Het uitschakelen van bijvoorbeeld de Windows Store Updates (oranje) en Windows Update (rood) is af te raden omdat je daarmee ook voorkomt dat beveiligingsfouten in Windows niet of pas later worden opgelost.

Bij elke functie komt een korte toelichting, soms is even googelen voor meer informatie aan te bevelen. Wil je een functie uitschakelen, plaats dan een vinkje ervoor en klik op Apply. Gebruik geen Check All, omdat dan ook alle rode opties worden gekozen.

©PXimport

Terughoudendheid is vereist bij de oranje en rood gemarkeerde opties in DoNotSpy10.

W10Privacy

Duitsers zijn gemiddeld genomen kritischer dan andere Europeanen als het gaat om privacy en dat is mogelijk de reden dat ook de tool W10Privacy uit dat land komt. W10Privacy doet in essentie hetzelfde als DoNotSpy10, maar uitgebreider. Wat DoNotSpy10 op één overzicht op hoofditem bij elkaar houdt, is door de makers van W10Privacy helemaal uit elkaar getrokken over 14 tabbladen, elk bomvol opties. Gelukkig zijn de opties net zoals bij DoNotSpy10 voorzien van kleurcodering (groen, oranje, rood) die de impact aangeeft.

Voor een toelichting op een bepaalde functie, zet je de muis erboven. Desondanks zijn tabbladen als Telemetry en Firewall lastig te gebruiken. Hier kun je van services en applicaties waarvan bekend is dat ze informatie verzamelen of delen het uitgaande verkeer blokkeren. Maar om sommige instellingen te wijzigen, is het nodig W10Privacy met administratorrechten te starten. Na elke wijziging start het programma zichzelf opnieuw op om de gewijzigde instellingen correct weer te geven. Niet alle instellingen worden overigens ook echt succesvol toegepast. W10Privacy is veelbelovend, maar duidelijk minder klaar voor gebruik dan de andere tools.

Tenslotte

Windows 10 is fantastisch en vernieuwend. Dat maakt het juist zo jammer dat Microsoft ervoor gekozen heeft met het nieuwe besturingssysteem zo schaamteloos de Windows-gebruikers te besnuffelen. Gelukkig kun je uiteindelijk jezelf ook wapenen tegen de nieuwsgierigheid van de Amerikaanse softwarereus en voorkomen dat informatie over jou die jij niet wilt prijsgeven bij Microsoft bekend wordt. Met de stappen en de tools in dit artikel doe je immers ook niets anders dan wat Microsoft meteen al zelf had moeten doen en minimaal in de instellingen had moeten aanbieden.

Inloggen met enkel een wachtwoord blijft riskant. Steeds vaker stappen diensten daarom over op tweestapsverificatie of op volledig wachtwoordloos inloggen. In combinatie met een fysieke beveiligingssleutel leveren beide een nog robuustere bescherming op. Hoe werkt dit precies en wat zijn enkele concrete mogelijkheden?

We hoeven je niet meer uit te leggen dat inloggen met alleen een wachtwoord niet veilig is, zeker niet als je hetzelfde eenvoudige wachtwoord bij meerdere diensten gebruikt. Een wachtwoordbeheerder als Bitwarden helpt je wel complexere en verschillende wachtwoorden te gebruiken, maar de zwakheden blijven: wachtwoorden kunnen via phishing worden onderschept, bij een datalek buitgemaakt of met brute-force achterhaald. Daarom winnen alternatieve loginmethodes aan populariteit. Denk aan tweestapsverificatie, waarbij je naast je wachtwoord nog een extra factor gebruikt, zoals een code of biometrie, en aan wachtwoordloos inloggen, een methode op basis van een cryptografisch sleutelpaar. Beide methoden verhogen de beveiliging, maar met een fysieke beveiligingssleutel kun je het nog veiliger maken.

Fysieke sleutel

Zo’n fysieke sleutel is een stukje hardware van doorgaans zo’n 4 cm lang en 2 cm breed, enkele mm dik en met een gewicht van circa 4 gram. Er bestaan ook wel kleinere sleutels in de vorm van een usb-c-dongel, die nauwelijks uitsteken uit de poort van een computer. Verderop bekijken we enkele concrete, uiteenlopende toepassingen, maar hoe werkt zo’n sleutel eigenlijk?

Wanneer je een sleutel voor het eerst koppelt aan een dienst of account, wordt er een cryptografisch sleutelpaar aangemaakt. De private sleutel blijft altijd veilig in een aparte chip van de beveiligingssleutel, terwijl de publieke sleutel naar de server van de betreffende dienst wordt doorgestuurd. Wanneer je vervolgens inlogt op de site, vraagt de server via je browser de sleutel om een cryptografische handtekening te zetten.

Veiligheid

De sleutel checkt daarbij welke domeinnaam in de browser actief is, bijvoorbeeld account.google.com, en zet de handtekening alleen als dit overeenkomt met het domein waarvoor je de sleutel eerder hebt geregistreerd. Daardoor is het systeem nagenoeg phishing-bestendig, in tegenstelling tot bijvoorbeeld sms- of OTP-codes. Zo’n code kun je immers ook op een valse site intypen, waarna een aanvaller deze meteen kan doorsturen naar de echte site. Bij wachtwoorden, sms en OTP bestaan bovendien gedeelde geheimen, zoals codes of hashes, die bij een datalek gestolen kunnen worden, terwijl er bij een fysieke sleutel zelfs bij een serverdatalek niets bruikbaars te halen valt. Een smartphone kan bovendien malware bevatten of gestolen worden, waardoor een aanvaller toegang kan forceren; een fysieke sleutel daarentegen bewaart de geheime sleutel veilig in een niet-uitleesbare chip.

Nadelen

Zo’n fysieke sleutel geldt dus als een van de veiligste methoden, al zijn er ook enkele praktische nadelen. Zo moet je de sleutel bij je hebben tijdens het inloggen en bij verlies of diefstal riskeer je buitengesloten te raken als je geen back-up hebt, bijvoorbeeld in de vorm van back-upcodes of een tweede, veilig bewaarde sleutel. Bovendien ondersteunen nog niet alle sites of diensten zo’n sleutel. Op onder meer www.kwikr.nl/f2sup en www.kwikr.nl/yubisup vind je wel lijsten met diensten die via een of ander protocol inloggen met een fysieke sleutel ondersteunen. Tot slot kost een sleutel ook wel iets: tussen de 30 en 80 euro, afhankelijk van de ondersteunde functies en standaarden.

Inloggen via 2FA

We weten nu hoe een sleutel eruitziet, hoe die werkt en waarom die zo veilig is. Dat volstaat om er zelf mee aan de slag te gaan, in verschillende scenario’s en met diverse protocollen. In dit artikel gebruiken we een YubiKey 5(C) NFC die ongeveer 65 euro kost, maar je kunt ook andere sleutels inzetten zolang ze de vereiste protocollen ondersteunen. Sleutels die enkel FIDO U2F en FIDO2 ondersteunen, zijn al verkrijgbaar vanaf 15 euro.

Laten we als voorbeeld starten met de sleutel als tweede factor bij een Facebook-account. Hiervoor volstaat een sleutel met FIDO U2F, al accepteren niet alle diensten U2F. Zo vereisen Apple en Microsoft in dit geval een FIDO2-sleutel.

Meld je aan bij je Facebook-account via https://accountscenter.facebook.com. Ga in Accountinstellingen naar Wachtwoord en beveiliging. Open Tweestapsverificatie en selecteer je Facebook-account. Na het invullen van een verificatiecode via mail kies je de gewenste methode. Klik op Beveiligingssleutels en bevestig met Doorgaan. Na de controle van de beveiligingscode klik je op Beveiligingssleutel registreren. Selecteer Beveiligingssleutel, druk op Volgende en OK. Plaats de sleutel, raak deze even aan en klik opnieuw op OK. Bevestig ten slotte met je wachtwoord zodat de sleutel als tweede factor wordt toegevoegd.

2FA in Bitwarden

Zolang je nog met wachtwoorden werkt, is een wachtwoordbeheerder sterk aan te raden. Een degelijke en gratis te gebruiken tool is Bitwarden. We gaan ervan uit dat je deze hebt gedownload en geïnstalleerd (via www.kwikr.nl/bwpers; beschikbaar voor Windows, macOS en Linux) en dat je een Bitwarden-account hebt aangemaakt. Handig is ook de Bitwarden-browserextensie, die automatisch invullen en opslaan van wachtwoorden in je browser veel eenvoudiger maakt, maar daar gaan we hier niet verder op in. We bekijken hier namelijk vooral het koppelen van je fysieke sleutel aan je Bitwarden-account.

Meld je aan op https://vault.bitwarden.com. Open Instellingen en kies Beveiliging. Ga naar het tabblad Tweestapsaanmelding en klik op Beheren bij FIDO2 WebAuthn. Vul je Bitwarden-hoofdwachtwoord in en voer bij Naam een korte beschrijving van de sleutel in. Plaats je sleutel (via usb of NFC) en klik op Sleutel lezen. Als de sleutel om een pincode vraagt, vul je die in en raak je de sleutel kort aan. Bevestig met OK en klik op Opslaan zodat de sleutel wordt toegevoegd. Op dezelfde manier kun je ook een andere sleutel als reserve koppelen (zie ook verderop ‘10 Voorzorgsmaatregelen’). Bij het inloggen, ook via de Bitwarden-app, moet je nu naast je wachtwoord ook je sleutel gebruiken.

Inloggen met passkey

Steeds meer diensten ondersteunen wachtwoordloze aanmeldingen via toegangssleutels, oftewel passkeys. Wil je hiervoor je fysieke sleutel gebruiken, dan moet deze FIDO2/WebAuthn ondersteunen, waarbij de private sleutel van het cryptografische sleutelpaar op de sleutel zelf wordt bewaard. Om in te loggen hoef je de sleutel enkel te plaatsen of via NFC op je smartphone te gebruiken, als dit wordt ondersteund, en daarna te bevestigen met pincode en aanraaksensor. Kortom, je sleutel wordt je loginmiddel. We tonen dit met een Google-account.

Log in via https://myaccount.google.com. Ga naar Beveiliging en klik bij Inloggen bij Google op Tweestapsverificatie. Klik indien nodig op Tweestapsverificatie aanzetten. Voeg desgewenst een telefoonnummer toe en klik bij Toegangssleutels en beveiligingssleutels op Beveiligingssleutel toevoegen. Klik vervolgens op + Toegangssleutel maken en kies Ander apparaat gebruiken. Selecteer in het pop-upvenster Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK. Plaats nu de sleutel en voer de pincode in, of maak een nieuwe aan als de sleutel nieuw of gereset is. Bevestig met OK en raak de sleutel kort aan. De sleutel staat nu in de lijst met toegangssleutels in je Google-account.

Wanneer je je daarna bij Google afmeldt en opnieuw aanmeldt, zul je merken dat je je wachtwoord – op ondersteunde browsers en platformen – niet meer hoeft in te geven en met de sleutel kunt aanmelden. Google acht deze methode namelijk veilig genoeg. Wil je dit toch niet, open dan opnieuw Beveiliging, klik bij Inloggen bij Google op Wachtwoord overslaan als dat mogelijk is en schakel deze optie uit. Je sleutel fungeert dan enkel nog als tweede factor, waarvoor in principe FIDO U2F volstaat.

Passkey bij Microsoft

Bij veel diensten werkt het koppelen vergelijkbaar als bij Google. We tonen je wel kort hoe je een beveiligingssleutel inzet in een wachtwoordloze oplossing bij Microsoft, die hiervoor een wat eigenzinnige werkwijze en terminologie hanteert.

Meld je aan via https://account.microsoft.comen open Beveiliging. Klik op Beheren hoe ik me aanmeld en kies Een methode voor aanmelden of verifiëren kiezen. Selecteer Gezicht, vingerafdruk, pincode of beveiligingssleutel en kies Beveiligingssleutel. Druk op Volgende en daarna tweemaal op OK, plaats de sleutel, voer desgevraagd de pincode in en raak de sleutel aan. Klik opnieuw op OK, geef de sleutel een naam en bevestig met Volgende en OK. De sleutel verschijnt nu in de lijst bij Een wachtwoordcode gebruiken (waar je hem ook kunt hernoemen of verwijderen). Je kunt de sleutel vanaf nu als tweede inlogfactor inzetten, ook op andere apparaten.

Wil je de sleutel volledig wachtwoordloos gebruiken, dan verplicht Microsoft je eerst de Microsoft Authenticator-app te installeren en hier via de plusknop je Microsoft-account toe te voegen. Klik daarna op je accountpagina in de rubriek Beveiliging op Inschakelen bij Account zonder wachtwoord en druk op Volgende. In de Authenticator-app verschijnt nu een melding die je bevestigt met Goedkeuren, waarna op de website wordt gemeld dat je wachtwoord is verwijderd. Voortaan kun je ook zonder wachtwoord inloggen, met je beveiligingssleutel.

Lokaal Windows-account

Het leek veelbelovend: open je in Windows de Instellingen en ga je naar Accounts / Aanmeldingsopties, dan zie je wellicht Beveiligingssleutel staan. Voor lokale of persoonlijke Microsoft-accounts werkt dit helaas niet. Dit blijkt enkel mogelijk bij zakelijke Active Directory- of Entra ID-accounts.

Heb je een compatibele Yubico-sleutel, zoals de YubiKey 5(C) NFC, dan kun je deze wel als tweede inlogfactor gebruiken voor een lokaal Windows-account. Hiervoor heb je de gratis tool Yubico Login for Windows nodig (www.kwikr.nl/yubilogin). Zorg wel dat je de gebruikersnaam en het wachtwoord van het lokale account kent. Installeer de tool en herstart Windows. Meld je daarna aan met je lokale account via de optie Yubico Login en start de app Login Configuration als administrator. Gemakshalve kun je Express configuration kiezen. Plaats de sleutel en volg de instructies (zie ook www.kwikr.nl/yubiwin). Bewaar de herstelcode zorgvuldig. Voor de gekozen gebruiker is voortaan naast gebruikersnaam en wachtwoord ook de beveiligingssleutel vereist.

Je kunt een YubiKey ook als tweede factor inzetten voor je Windows-login.

Inloggen met TOTP

Als je beveiligingssleutel ook OATH-TOTP ondersteunt (Initiative for Open AuTHentication - Time-based One-Time Password), kun je die gebruiken om een eenmalige code te genereren, net als met authenticator-apps van Google, Microsoft, Proton of Authy. Veel apps en diensten ondersteunen deze 2FA-methode.

We nemen Dropbox als voorbeeld. Meld je aan op www.dropbox.com, klik op je profielicoon rechtsboven, kies Instellingen en open het tabblad Beveiliging. Schakel Tweestapsverificatie in, selecteer Authenticatie-app en druk op Verzenden. Je ziet nu een QR-code en de bijbehorende geheime sleutel.

Download en installeer vervolgens de gratis app Yubico Authenticator (www.kwikr.nl/yubiauth). Start de app, plaats je beveiligingssleutel en open Accounts. Klik op Add account en kies Scan QR code als je een camera hebt, of voer de geheime code handmatig in bij Secret Key. Vul bij Issuer bijvoorbeeld Dropbox in en bij Account name het e-mailadres van je Dropbox-account. Bevestig met Save. In de app verschijnt een cijfercode die je op de Dropbox-site invult bij Bevestigingscode. Noteer de herstelcodes, bewaar ze goed en rond af met Voltooien.

Bij het aanmelden op Dropbox tik je eerst je wachtwoord in en daarna de actuele eenmalige code die je in Yubico Authenticator bij je Dropbox-account ziet.

Challenge/Response

Tot slot tonen we je nog de challenge-response-methode. Hierbij genereert een dienst of app een willekeurige wiskundige vraag (challenge) in de vorm van een bitreeks. Deze gaat naar je beveiligingssleutel, die de overeenkomstige cryptografische response berekent en terugstuurt. Als de codes overeenkomen, krijg je toegang. We lichten dit kort toe voor de gratis wachtwoordbeheerder KeePassXC (www.keepassxc.org; Windows, macOS, Linux) om een lokaal bewaarde wachtwoordkluis te openen.

Verschillende sleutels ondersteunen deze methode, waaronder de meeste YubiKeys. Download en installeer voor zo’n sleutel eerst de gratis YubiKey Manager (zie kader ‘Sleutelbeheer’). Start de app, ga naar Applications/OTP en klik op Configure bij een vrij slot. Kies Challenge-response, klik op Generate voor de geheime sleutel, zet eventueel een vinkje bij Require touch voor extra veiligheid en sluit af met Finish.

Open vervolgens KeePassXC en laad je database. Ga naar Database / Database beveiliging, kies Aanvullende bescherming toevoegen / Challenge-Response toevoegen, selecteer het juiste slot van je geplaatste sleutel en bevestig met OK. Voortaan is je wachtwoordkluis enkel toegankelijk met je wachtwoord en je beveiligingssleutel.

Sleutelbeheer

Beschik je over een beveiligingssleutel, dan zul je vroeg of laat de beheertool van de producent nodig hebben. Als voorbeeld nemen we de YubiKey Manager (www.kwikr.nl/yuman), die je het best als administrator opstart. Hiermee kun je functies of interfaces uitschakelen (OTP, FIDO U2F, FIDO2, OpenPGP, PIV en OATH), een pincode instellen of resetten voor FIDO2 of PIV, statische wachtwoorden of OTP-slots programmeren en certificaten beheren in PIV-modus (smartcardfunctie).

In de beheertool kun je ook specifieke protocollen uitschakelen, mocht je dat willen (hier: YubiKey Manager).

Voorzorgsmaatregelen

In het artikel hebben we al, ook tussen de regels door, enkele tips gegeven om (veiligheids)problemen te vermijden. We sommen ze kort nog even op.

Zo registreer je best altijd twee fysieke sleutels bij elke dienst, zodat je bij verlies of diefstal via de back-upsleutel toegang behoudt. Bewaar deze op een veilige plaats en test af en toe of de sleutel nog werkt. Activeer daarnaast bij elke dienst een alternatieve 2FA- of noodmethode, zoals TOTP-toegang via een authenticator-app, en druk back-upcodes af die je veilig bewaart. Zo kun je ook zonder sleutel nog aanmelden, al is dit wat minder robuust. Tot slot, ook al beschermt een beveiligingssleutel je technisch goed tegen phishing, blijf alert. Krijg je bijvoorbeeld een onverwachte vraag om de PIN-code van je sleutel in te voeren, wees dan op je hoede.

Tefal lanceert een compact model tosti-ijzer dat met allerlei extra platensets te gebruiken is voor allerlei gerechten: van panini's en wafels in allerlei vormen en maten tot aan donuts en madeleines. Is de Snack Collection echt zo veelzijdig? ID.nl ging ermee aan de slag.

Tafelgrills en tosti-apparaten zijn in bijna elk huishouden te vinden. Vaak gaat het om apparaten met een geribbelde grillplaat boven en onder, waar je je tosti tussen legt om die een paar minuten erna bruin en krokant uit te halen, met een lekker warme vulling. Het zijn eenvoudige apparaten die goed zijn in waarvoor ze ontwikkeld zijn. Meer dan je tosti erin maken kan vaak niet. Tefal komt nu met de compacte Snack Collection, een apparaat dat je koopt met twee bijgeleverde typen grillplaten en nog eens kunt uitbreiden door losse sets erbij te kopen.

©Saskia van Weert

Testexemplaar en meegeleverde platen

Ter review ontving de redactie een blauw testmodel, voorzien van twee grill/panini-platen (één boven, één onder in het apparaat) en twee platen om Brusselse wafels mee te maken. De Snack Collection is met zijn 28,5 centimeter breedte, 20,6 centimeter lengte en 34,5 centimeter hoogte een betrekkelijk klein apparaat dat makkelijk op te bergen is. Het snoer is aan de onderkant op te bergen, er zit een aan-uitknop aan de voorzijde, net als een vergrendeling om het ijzer op slot te zetten. Ook zit er een lampje aan de voorzijde dat groen oplicht als het apparaat is voorverwarmd. Hij heeft een vermogen van 700 watt en een maximale temperatuur van 230 graden. De temperatuur is niet handmatig in te stellen.

©Saskia van Weert

Inhoud van de doos en wisselen van platen

In de machine zit al een set grillplaten. Verder vind je in de doos twee verpakkingen die nog het meest doen denken aan videobandhoezen van vroeger. Ze zijn van harde kunststof en gaan wat lastig open. De ene doos is uiteraard leeg, want daar zaten de panini-platen in, maar we vinden er wel een receptenboekje in. In de andere doos zit de uitbreiding; in ons testexemplaar zijn dat de wafelplaten. De platen zijn los te halen uit de machine via een knopje boven en onder, en de platen kunnen er op maar één manier in vastklikken. Je kunt ze dus niet verkeerd bevestigen. Ze mogen in de vaatwasser; de machine zelf uiteraard niet.

©Saskia van Weert

Gebruik en bediening

Zoals wel vaker bij dit type apparaten is de werking enorm simpel. Je bevestigt de gewenste platen in de machine, doet de stekker in het stopcontact en zet hem aan. Dan wacht je tot het groene lampje aangaat, open je de machine, doe je je gerecht erin, sluit je alles weer netjes en wacht je tot je eten klaar is. Eet smakelijk!

©Saskia van Weert

Test: tosti's

De bijgeleverde grill/panini-plaat is net wat te klein voor een reguliere tosti van boterhammen uit de supermarkt; het korstje steekt net wat boven de plaat uit. Maar dat bleek voor het resultaat niet uit te maken: alle geteste tosti’s kwamen prima uit de Tefal. Opwarmen duurde wel wat lang, ongeveer 4 minuten.

Lees ook: Gezonde tosti’s om de hele middag op door te gaan

Test: panini

De test met een panini had wat voeten in de aarde. De supermarkten in onze woonplaats verkochten geen panini-broodjes, maar een XL-shop in een andere plaats wel. Panini-broodjes zijn hoger dan normale afbakbroodjes en standaard voorzien van grillstrepen. Het deksel van de Snack Collection moest wel wat worden aangedrukt om de machine te kunnen sluiten met de vergrendeling, maar ook dat verliep verder prima.

Schoonmaken en opbergen 

De platen komen weer brandschoon uit de vaatwasser en klikken makkelijk vast in het apparaat. Door de betrekkelijk kleine afmetingen van dit keukenapparaat is het makkelijk op te bergen.

©Tefal

Uitbreidingssets (assortiment)

Dan de uitbreidingssets. Deze hebben we niet kunnen testen, maar zijn uiteraard te bekijken via de site van Tefal. Er is een aantal platen voor tosti’s in bijzondere vormen, zoals een schelpvorm of juist meteen als driehoek. Verder zijn er onder meer vormen voor bagels te verkrijgen. Tefal mikt duidelijk op een internationaal publiek, want er is ook een vorm voor madeleines (Franse zoete cakejes) verkrijgbaar.

Conclusie

De Tefal Snack Collection is een compact tosti-apparaat met verwisselbare platen, bedoeld voor wie met één toestel meerdere snacks wil maken. In de test leverde het apparaat nette resultaten op: tosti's kwamen goed uit de grill en panini's lukten eveneens prima na het sluiten met de vergrendeling. De platen klikken stevig vast, zijn uitneembaar en kunnen in de vaatwasser. Dankzij het kleine formaat en het opbergsysteem voor het snoer is het toestel eenvoudig weg te zetten. Het apparaat heeft een vermogen van 700 watt, een maximale temperatuur van 230 graden en een indicatielampje dat aangeeft wanneer voorverwarmen is voltooid.

Aandachtspunten: het grillvlak is aan de krappe kant voor standaardboterhammen, de opwarmtijd ligt rond de 4 minuten en de temperatuur is niet handmatig regelbaar. De uitbreidingsmogelijkheden zijn groot (onder meer wafels, donuts, madeleines en bagels), maar deze extra platen zijn in deze test niet inhoudelijk beoordeeld.

Per saldo is de Snack Collection een praktisch en ruimtebesparend apparaat voor de liefhebbers van tosti's die ook graag eens experimenteren met andere bereidingen.