c't magazine 4/2023

Smarthome-interface

RESCUE-WINDOWS

 Maak een nood-stick

 Problemen oplossen

 Malware opsporen

Netgear Orbi RBK753 mesh

Intel Arc grafische kaarten

IKEA Dirigera smarthome-hub

Compacte premium-laptops

18 TB NAS- en serverschijven

VMware Workstation 17

SMARTHOME ZONDER CLOUD

• Lokale besturing

• Alternatieve firmwares

EN VERDER

• Wat brengt Wi-Fi 7?

• Test van 25 routers op IPv6

RASPBERRY PIALTERNATIEVEN

• Zo werken passkeys

• Windows Administrator reactiveren

• Linux-installaties overhuizen

• PlayStation-games op Steam Deck

32

Rescue-Windows

Ons Windows-rescuesysteem helpt om Windows-installaties van buitenaf aan de tand te voelen. Vanaf een usb-stick jaagt het op ongedierte, kloont schijven, verhelpt opstartproblemen, stelt wachtwoorden opnieuw in of haalt die uit de krochten van Windows en nog veel meer. We hebben het bouwpakket op een nieuw fundament gezet en de werking ervan verder vereenvoudigd.

98

Smarthome zonder cloud

Een slim huis kan zich dom gedragen als lampen, schakelaars en sensors niet met elkaar communiceren. Bij producten met cloudkoppeling kan de fabrikant je activiteiten bovendien bijhouden. Kies je voor opensource firmware en lokale besturing, dan moet je meer uitzoeken en zelf configureren – maar krijg je ook veel meer vrijheid.

108 Raspberry Pi-alternatieven

De Odroid-H3 met de energiebesparende Celeron N5105-processor is onder meer geschikt voor thuisservers, NAS, firewalls of als mediaspeler. De VisionFive 2 is de eerste betaalbare Raspberry Pi-concurrent met een door Linux ondersteunde RISC-V-processor.

Thema’s

Rescue-Windows

32 c’t -rescue-Windows-systeem bouwen

38 Problemen oplossen met c’t-rescue-Windows

44 Op zoek maar malware met c’t-rescue-Windows

Smarthome zonder cloud

98 Flexibele lokale besturing: wel of niet opensource

102 Firmware voor tussenstekkers en sensors

Raspberry Pi-alternatieven

108 Odroid-H3 met Celeron N5105-processor

110 StarFive VisionFive 2 met RISC-V-chip

Nieuws

6 Algemeen

8 Hardware 10 Linux

12 Processors

14 Google VPN voor Android, iOS, macOS en Windows 28 Lifestyle 30 Surftips

Inhoud

26 Homey Bridge smarthome-interface

48 Compacte krachtige laptops met 16:10- of 3:2-display

68 Betaalbare USB-C-audio-interfaces

80 Drie grafische kaarten met Intels Arc-gpu

84 Harde schijven voor NAS en servers vergeleken

88 Test van 25 routers: IPv6-prestaties

94 PinePhone Pro Linux-smartphone

Achtergrond

64 Zo werken passkeys

76 Waarom Wi-Fi 6 beter werkt en wat opvolgers bieden

120 Windows ARM-computers zetten maar niet door

Praktijk

112 Malwareacties ontmaskeren met Process Monitor

118 Het Windows-account Administrator heractiveren

122 Linux-installatie verhuizen naar een nieuwe pc

126 Automatiseren onder Linux met NetworkManager

128 Twitter-alternatief Mastodon zelf hosten

132 PlayStation-games streamen op een Steam Deck

136 Parallelinstallatie van Windows en Linux herstellen

140 Tips en trucs

Vaste rubrieken

3 Voorwoord

58 Gratis online office van Apple, Google en Microsoft

Hardware

Zakelijk uitgelicht

17 Iiyama UC CAM120ULB-1 conferentiesysteem

21 MSI Prestige 14 Evo compacte laptop

48 Compacte krachtige laptops met 16:10 of 3:2-display

84 Harde schijven voor NAS en servers vergeleken

Abonnement afsluiten?

Kijk voor actuele aanbiedingen op op www.ct.nl/abo

C’T-RESCUE-WINDOWS 2023

Bijgewerkt bouwpakket met vereenvoudigde bediening

Ons Windows-rescuesysteem helpt al jaren om Windows-installaties van buitenaf aan de tand te voelen. Opgestart vanaf een usb-stick jaagt het op ongedierte, kloont harde schijven, verhelpt opstartproblemen, stelt wachtwoorden opnieuw in of haalt die uit de krochten van Windows en nog veel meer. We hebben het bouwpakket op een nieuw fundament gezet en de werking ervan verder vereenvoudigd.

Stephan Bäcker, Peter Siering en Noud van Kruysbergen

Het liefst zouden we je ons rescue-Windows als kant-en-klaar systeem leveren, maar het licentiebeleid van Microsoft staat dat in de weg (zie kader rechtsonder). Maar maak je geen zorgen: zelfs met het bouwpakket kom je er snel – en we hebben dat dit jaar zelfs weer vereenvoudigd. In de volgende paragrafen wordt uitgelegd hoe je het moet gebruiken en aan welke eisen er moet worden voldaan. Aan het eind leer je ook hoe je jezelf kunt helpen als de bouwpoging in eerste instantie niet lukt.

GETEST EN GOEDGEKEURD

Het basisprincipe is eenvoudig en al jaren beproefd. Ten eerste heb je het zipbestand ctrescue2023. zip nodig met het bouwsjabloon, dat je bij ons kunt downloaden. Anderzijds wil het bouwpakket een set installatiebestanden verwerken, oftewel de originele Windows-bestanden die gewoonlijk worden gebruikt om het besturingssysteem in te stellen (bronbestanden). Microsoft stelt die gratis ter beschikking om te downloaden in de vorm van evaluatieversies. We hebben alle nodige links verzameld bij www.ct.nl/ ctrescuewin.

We raden je sterk aan de ISO-bestanden van de door Microsoft verstrekte evaluatieversies te downloaden. Een eventueel lokaal beschikbare installatiedvd of een ISO-bestand gemaakt door de Media Creation Tool is vaak niet geschikt als bron omdat die de door het bouwpakket benodigde bestanden bewaren in een bestandscontainer die het bouwpakket niet kan verwerken (ESD in plaats van WIM). Bespaar jezelf die tijd en moeite vooral en volg daarom de aanbeveling op.

Als je waarde hecht aan actuele stuurprogramma’s, moet je de evaluatieversie van Windows 11 22H2 gebruiken. Dat is compatibel met het bouwpakket. Je kunt ook zijn voorganger Windows 11 21H2 gebruiken, die werkt ook. Je kunt op veilig spelen met de evaluatieversie van Windows 10 2004, die voldoende is voor de meeste rescuetoepassingen – tenzij je te maken hebt met de nieuwste hardware. Het

rescuesysteem wordt sowieso niet geleverd met alle stuurprogramma’s en het kan zijn dat je het een handje moet helpen (zoals uit het volgende artikel blijkt).

Je vindt downloadlinks op www.ct.nl/ctrescuewin. Om het bouwpakket te kunnen gebruiken, heb je een pc nodig met een versie van Windows die nog steeds door Microsoft bijgewerkt wordt. Op dit moment zijn er nog maar twee over: Windows 10 en 11 – die zijn beide even geschikt. Omdat de ondersteuning voor Windows 8.1 inmiddels beëindigd is, hebben we die slechts vluchtig getest. We hebben ons verder helemaal niet beziggehouden met het al lang verouderde Windows 7. Voor het downloaden van de bestanden en als werkruimte moet er ongeveer 20 GB aan opslagruimte

Achtergrond van het bouwpakket

We hebben het altijd betreurd dat we een op Windows gebaseerd rescuesysteem alleen als bouwpakket kunnen aanbieden. Helaas geeft Microsoft geen licenties uit voor Windows PE (Preinstallation Environment).

PE helpt als minimale versie van Windows onder meer elke keer dat je Windows installeert. Het dient ook als basis voor de Herstelomgeving (Windows Recovery Environment), die zich verbergt in een aparte partitie op een pc en die Windows automatisch start als er iets gerepareerd moet worden.

Rondom PE zijn verschillende projecten voor bouwpakketten met extra tools ontwikkeld. Die projecten doen eigenlijk allemaal hetzelfde: ze werken op basis van Microsofts PE-omgeving. Om dat te doen, gebruiken ze meestal dezelfde scripttaal, die teruggaat naar software genaamd WinBuilder. We bekijken die projecten en gebruiken dan uiteindelijk degene die we het meest aantrekkelijk vinden als basis voor onze rescue-Windows. We laten de scripts al langere tijd niet meer uitvoeren door WinBuilder, maar door de opensource software PEBakery.

Veel van de tools zijn niet zonder risico, je moet ze doordacht gebruiken

Eerste fase: voorbereiding van de bouw

1. Lees het artikel in zijn geheel om de voorwaarden te weten en voorbereid te zijn op eventuele problemen.

2. Download een ISO-bestand met een 64-bit evaluatieversie van Windows 10 of 11 (tussen 3 en 5 GB). Via de link op de laatste pagina vind je directe downloadlinks.

3. Maak een map aan waarin het bouwproces moet plaatsvinden, bijvoorbeeld C:\ctrescue. Gebruik alleen letters in die naam en vermijd lange, geneste paden.

4. Definieer een uitzondering voor die map in je

virusscanner. Windows Defender noemt ze bijvoorbeeld uitsluitingen.

5. Download via de link het ziparchief met het bouwpakket in die map.

6. Pak op dat moment het ziparchief pas uit in die map. Zonder eerst uitsluitingen in te stellen zou je antivirussoftware mogelijk individuele bestanden weghalen en zou het bouwen mislukken.

7. Dubbelklik op het ISO-bestand om het te koppelen als een virtueel station. Het krijgt een letter, zoals F:.

Je moet antivirus- en andere beveiligingssoftware in toom houden zodat die het bouwproces niet verstoort en bestanden weghaalt – programma’s die een nuttige aanvulling zijn voor een rescuesysteem kunnen in een andere context een gevaar vormen.

beschikbaar zijn voordat je begint. Het werkt het snelst als je dat op een ssd doet. 8 GB RAM is voldoende voor het bouwen. De usb-stick waarop het uiteindelijke rescuesysteem terechtkomt, moet minstens 8 GB ruimte hebben. Je doet jezelf een plezier door een usb-stick van een gerenommeerde fabrikant van flashgeheugen te gebruiken – exemplaren uit de grabbelbakken bij de bouwmarkten kosten alleen maar tijd en zenuwen.

GEWIJZIGD

Voor de nieuwe editie hebben we besloten dat het bouwpakket alleen 64-bit rescuesystemen zal produceren – de bronbestanden van een x86 Windows-versie worden niet verwerkt. Dat is meestal geen probleem: een 64-bit rescuesysteem kan 32-bit installaties aan – op één beperking na, zie het volgende artikel.

Een 32-bit installatie kan echter nog steeds dienen als bouwsysteem, maar ondersteunt maximaal 4 GB RAM en kan dus snel vol raken tijdens het bouwen – we hebben dat met meerdere experimenten en starts van het bouwproces meegemaakt.

Je moet het bouwpakket uitpakken in een map die zich het best in de hoofdmap van een station bevindt, bijvoorbeeld C:\ctrescue. Een map op het bureaublad is een gevaarlijke keuze omdat een daar geplaatste map ctrescue uiteindelijk in bijvoorbeeld C:\Users\ naam\Desktop/ctrescue terechtkomt en de scripts van het bouwpakket zullen dan met allerlei koppeltekens, spaties en wellicht andere speciale tekens moeten werken. De kans dat dit misloopt kun je beter vermijden.

Je moet je virusbeschermingssoftware duidelijk maken dat die map niet beschermd hoeft te worden. Ga voor Windows Defender naar ‘Instellingen / Privacy en beveiliging / Windows-beveiliging’, klik dan op ‘Virus en bedreigingsbeveiliging’ en ga naar ‘Instellingen beheren’. Scrol naar beneden naar Uitsluitingen en klik op ‘Uitsluitingen toevoegen of verwijderen’. Met ‘Een uitsluiting toevoegen’ voeg je de map C:\ctrescue toe en daarna het proces rufus.exe.

Dat is nodig omdat de programma’s die het bouwpakket zelf gebruikt en sommige van de programma’s die het verwerkt een latente bedreiging vormen voor beveiligingssoftware. Met deze uitzonderingsregels

Een slim huis kan zich dom gedragen als lampen, schakelaars en sensors niet met elkaar communiceren. Bij producten met cloudkoppeling kan bovendien de fabrikant je activiteiten bijhouden. Kies je voor opensource firmware en lokale besturing dan moet je meer uitzoeken en zelf configureren, maar krijg je ook veel meer vrijheid.

Zeg eens eerlijk: ben je echt tevreden met je smarthome of zijn er dingen die je al langer irriteren? Of heb je de smarthome ­apparaten tot nu toe op de plank van de bouwmarkt laten liggen omdat de ervaringen van vrienden en familieleden teleurstellend waren? Misschien heb je zelfs op een gegeven moment die zogenaamd slimme rommel weggedaan en vervangen door goed werkende domme technologie?

Dan kunnen we je misschien geruststellen: je bent niet de enige die frustrerende ervaringen heeft opgedaan op weg naar een smarthome. Vroeg of laat krijgen de meeste mensen de bittere ervaring dat het combineren van apparaten van verschillende fabrikanten lastig kan zijn en dat sommige aanbieders wel een cloud­koppeling bieden maar geen hulpmiddelen voor automatisering.

Aan de beperkte gebruikerservaring van de gekochte hardware hebben sommige bedrijven jarenlang hard gewerkt. Enerzijds zijn dat fabrikanten met bekende merknamen. Bij hen is het ‘Netflix­principe’ een gevestigde strategie op managementniveau.

Het idee hierachter is dat je niets kunt verdienen met eenmalige hardwareverkoop en dat je in plaats daarvan klanten moet overhalen om een maandelijks abonnement te nemen.

Het gaat de fabrikant om jouw abonnement, het verkochte apparaat is slechts een middel omdat doel te behalen. Zo zijn de smarthome ­apparaten van Tado voor regelen van je verwarming al niet goedkoop, maar bieden ze alleen eenvoudige automatiseringen aan als je 2,99 euro per maand betaalt voor ‘Auto ­Assist’.

Een vergelijkbare strategie zie je bij de Toonthermostaat van Eneco die pas slim wordt in combinatie met een abonnement (4,50 euro per maand). Ook slimme functies voor beveiligingscamera’s (zoals gezichtsherkenning) worden vaak alleen via een cloud­abonnement aangeboden, zoals Nest Aware vanaf 5 euro per maand).

Met dergelijke strategieën past het niet in het concept dat klanten een app van derden of een zelfgebouwde website gebruiken om hun huis te bedienen. Ze moeten er immers aan herinnerd worden wat er nog meer te ontdekken valt in het aanbod van

de fabrikant, telkens als ze de app openen. Een optie om die ellende met afgeschermde ecosystemen te beëindigen is eind 2022 gepresenteerd: Matter is de nieuwe standaard van de Connectivity Alliance en moet ecosysteem­ onafhankelijke configuratie van apparaten mogelijk maken. Het feit dat onder andere Amazon, Apple, Google, Philips en Samsung willen meedoen is veelbelovend, maar het Matter­tijdperk is nog niet echt begonnen.

Ikea heeft bijvoorbeeld net een nieuwe Zigbee ­bridge gelanceerd, de Dirigera (zie pagina 17), die binnenkort Matter zou moeten spreken. De firmware daarvoor is echter nog niet klaar. Dit jaar zal uitwijzen of Matter een kans maakt.

GOEDKOOP INGEKOCHT

Smarthomeproducten uit de bouwmarkt of supermarkt zijn mijlenver verwijderd van Matter. Ze vinden hun weg naar de schappen op een andere manier dan de klanten verwachten: inkopers of importeurs zoeken naar interessant lijkende hardware op handelsplatforms in het Verre Oosten zoals Alibaba en kopen die goederen in voor een actie.

In het eenvoudigste geval vertaalt de importeur alleen de instructies en voldoet hij daarmee aan de wettelijke verplichtingen – als er wat meer tijd is, laat hij misschien ook de bijbehorende app vertalen en zet die met het logo van de klant in de app stores.

Dan draagt de smarthome ­app de naam van de verkoper, maar er is geen uitgekiend plan van de distributeur om een ecosysteem op te bouwen en te onderhouden om de klant aan zich te binden.

Volgend jaar kan de slimme ledstrip afkomstig zijn van weer een andere fabrikant die snel zijn eigen app in elkaar heeft geflanst met een server in China. Voor klanten leveren dergelijke ‘koopjes’ vaak veel frustratie op. Marktleider bij dit soort hardware is de Chinese leverancier Tuya, wiens producten onder allerlei namen verkocht worden.

Een voorbeeld van waar klanten mee te maken krijgen zijn de apparaten die Lidl verkoopt onder de merknaam Silvercrest (van fabrikant Targa). De bijbehorende SilverCrest Smart Home app wordt vanaf eind november 2022 niet meer ontwikkeld en is vanaf 1 juli 2023 niet meer beschikbaar.

De apparaten hoeven gelukkig niet naar de schroothoop, je kunt overschakelen op de Homematic IP­app. Toch toont dit aan hoe afhankelijk je bent van aanbieders. Er is geen universele oplossing om alle smarthomeproblemen uit de wereld te helpen. Maar in het volgende artikel presenteren we een strategie die volgens ons leidt tot meer plezier van je apparaten. Terwijl fabrikanten hun ecosystemen zo veel mogelijk afschermen, is opensource software een antwoord daarop.

Er is op dat gebied veel moois gebeurd. De projecten zijn meestal ontstaan uit de frustraties van particuliere hobbyisten. Hieruit zijn actieve gemeenschappen gegroeid die zo groot zijn geworden dat bedrijven nu ook kant­ en­klare hardware aanbieden met opensource software.

BERICHTENHEERSCHAPPIJ

Mastodon zelf hosten

Veel nieuwkomers bij Mastodon registreren zich bij een bestaande instance. Maar je kunt ook je eigen, individueel aangepaste Mastodon-server opzetten – of het nu voor jezelf, familie of vrienden is. We laten zien hoe je deel wordt van het netwerk.

Sinds Elon Musk Twitter heeft overgenomen, krijgt het gedecentraliseerde sociale netwerk

Mastodon veel aandacht in de media. Het is niet onwaarschijnlijk dat enkele van je contacten van Twitter naar Mastodon zijn overgestapt of allebei gebruiken. En misschien heb je zelf ook al een account aangemaakt bij een van de vele instances met open inschrijving.

Mastodon heeft vanaf de buitenkant gezien veel overeenkomstige kenmerken met Twitter, maar is heel anders gestructureerd. Er is geen centrale entiteit zoals een bedrijf die een controlerende rol uitoefent. Het bestaat uit een netwerk van servers, ook wel instances genoemd, die met elkaar communi-

ceren via het open protocol ActivityPub. Een populaire vergelijking is e-mail: je kunt geregistreerd zijn bij e-mailprovider A, en toch mails versturen naar gebruikers bij e-mailprovider B. Mastodon is geen blackbox, maar opensource. Iedereen kan zijn eigen instance beheren en toch deel uitmaken van het netwerk (Fediverse).

Het zelf hosten van een Mastodon-instance heeft een aantal voordelen. Het grootste voordeel is dat je je eigen gegevens beheert. Wanneer je inlogt bij een bestaande instance, overhandig je veel vertrouwen aan de beheerder. Die kan in principe bijvoorbeeld privéberichten lezen omdat die nog niet end-to-end versleuteld zijn (zie de link op de laatste pagina van dit artikel).

Bovendien geldt het principe ‘mijn huis, mijn regels’. De beheerder onderhandelt over de regels met de community, maar heeft zelf het laatste woord. Als het je niet bevalt, kun je overstappen naar een instance die meer met jouw ideeën overeenkomt – of je richt je eigen instance in.

Als beheerder stel je ook de grenzen en zet je onwelgevallige instances op een blocklist. Ten slot-

te draag je ook bij aan de loadbalancing van het netwerk, want populaire instances zoals @mastodon.social hebben het lastig met de aanwas aan nieuwe gebruikers en de toegenomen moderatie-inspanning. Sommige instances hebben daarom al besloten geen nieuwe gebruikers meer te accepteren.

Denk echter goed na voordat je een Mastodoninstance gaat hosten, want het kost tijd, geld en zenuwen om het te beheren en te modereren. Het is overigens niet ongebruikelijk dat de gebruikers van een instance bereid zijn om een financiële bijdrage te leveren aan de kosten.

VEREISTEN

Er zijn veel manieren om je eigen Mastodon-instance op te zetten. In dit artikel leggen we uit hoe je Mastodon instelt op een VPS (Virtual Private Server) onder Debian 11 met Docker. We leveren de configuratiebestanden en containerrecepten in een GitHub-repository voor het project (zie de link op de laatste pagina).

Houd er rekening mee dat Mastodon complexe software is en dat we het installeren ervan eenvoudiger gemaakt hebben met behulp van containers. Dat maakt de instructies bijzonder geschikt om dingen uit te proberen.

Als je van plan bent je instance niet alléén te gebruiken, moet je je goed bewust zijn van de verantwoordelijkheid die je hebt bij het gebruiken van gegevens van anderen en praktische ervaring hebben met Docker en Linux-servers. Een VPS heeft het voordeel dat die goedkoper is en kan meegroeien met een community. Als je op een gegeven moment meer rekenkracht nodig hebt, voeg je meer cpu-cores of werkgeheugen toe via je hostingprovider.

We hebben een hoster uitgezocht en een server geconfigureerd met 2 vCPU-kernen, 4 GB RAM en 40 GB ssd-ruimte, en dat kost ongeveer 7 euro per maand. In principe kun je Mastodon ook thuis op een Raspberry Pi draaien, bijvoorbeeld als je een instance voor jezelf, enkele vrienden of een kleine club wilt draaien.

Bij een test deed een Raspberry Pi 4 met 4 GB RAM het op zich ook prima. Om genoeg ruimte te hebben voor geüploade bestanden, moet je de Rasperry Pi uitrusten met een externe ssd. Een eenvoudige handleiding daarvoor staat bij de Raspberry Pi Foundation – zie de link.

Naast een server heb je ook een eigen domein nodig waarvan je de DNS-gegevens kunt aanpassen of een DynDNS-service, bijvoorbeeld die van de Fritzbox als je server verbonden is met je eigen internetverbinding. Stel een (Dyn)DNS-service in die wijst naar het ip-adres van je Mastodon-server.

Mastodon stuurt mails om gebruikers te verifiëren en hen in staat te stellen wachtwoorden te resetten. Met SMTP-providers als SendinBlue, SendGrid en Google kun je een beperkt aantal van dergelijke transactiemails gratis verzenden. Hoe je je eigen mailserver met Mailcow opzet, hebben we beschreven in [1].

DE SERVER BEVEILIGEN

Als beheerder ben je verantwoordelijk voor de bescherming van de gegevens van je gebruikers, en een Mastodon-instance is een aantrekkelijk doelwit voor aanvallers. Wanneer je verbinding maakt met de server is het beter om je alleen met je SSH-sleutel te authenticeren en niet via een wachtwoord. Gewoonlijk kun je je openbare sleutel bij de hoster achterlaten wanneer je de server configureert. Zodra je verbonden bent via SSH, deactiveer je de wachtwoordlogin door in het bestand /etc/ssh/sshd_config bij de sleutel PasswordAuthentication de waarde no in te voeren. Herstart dan de SSH-daemon, je verbinding blijft bestaan: systemctl restart ssh.service Werk dan het systeem bij naar de laatste versie: apt update && apt upgrade -y Je moet ook alleen verzoeken voor SSH, HTTP en HTTPS toestaan. Configureer een cloudfirewall bij je hoster en blokkeer alle TCP-poorten behalve 22, 80 en 443. Zorg er ook altijd voor dat Mastodon en de rest van je server up-to-date zijn.

MASTODON IN EEN CONTAINER

Als eerste stap installeer je Docker op je server. We hebben in [2] de basis van Docker beschreven. Voor een productiesysteem moet je de nodige pakketten halen uit de Docker-repository, zoals beschreven in de documentatie die je kunt vinden bij de link op de laatste pagina. Dat kan sneller en handiger met het installatiescript dat je kunt downloaden en vervolgens uitvoeren:

curl -fsSL https://get.docker.com -o get-docker.sh sh get-docker.sh

We willen de Mastodon-webinterface versleuteld leveren met de reverse-proxy Traefik in een container, die zorgt voor het verkrijgen van TLS-certificaten van Let’s Encrypt en die automatisch vernieuwt. Maak daar de volgende directorystructuur voor aan en voeg daar de nodige configuratiebestanden aan toe:

Zo werken passkeys

Passkeys moeten wachtwoorden gaan ver vangen. Ze maken de FIDO2-aanmeldmethode gebruiksvriendelijker en zijn te synchroniseren en herstellen. We leggen het principe uit en vatten de stand van zaken samen.

Wachtwoorden zijn vervelend voor gebruikers, deskundigen beschouwen ze terecht als een van de grootste veiligheidsrisico’s op internet – en niemand zal ze missen. Eerdere pogingen om wachtwoorden te vervangen zijn echter steeds mislukt. De Fast Identity Online Alliance (FIDO) en het World Wide Web Consortium W3C lanceerden in 2018 een veelbelovende vooruitgang met de FIDO2-standaard. Die verbindt online accounts aan beveiligingssleutels, ook wel authenticators of tokens genoemd. Dat maakt het mogelijk om makkelijk en veilig in te loggen, in het beste geval zonder wachtwoord. Toch werd FIDO2 niet populair bij de grote massa, vermoedelijk omdat beveiligingssleutels en accounts eerst op een omslachtige manier aan elkaar gekoppeld moeten worden.

Passkeys breiden de FIDO2-standaard uit. Ze hebben dezelfde voordelen, maar bieden veel meer gemak omdat gebruikers niet meer zelf alle apparaten met alle accounts hoeven te koppelen. En als een pc of smartphone om welke reden dan ook uitvalt of niet

beschikbaar is, kunnen de wachtwoorden makkelijk hersteld worden.

Maar eerst een korte terugblik op de geschiedenis van FIDO2: eerst kwamen er FIDO2-beveiligingssleutels op de markt in de vorm van usb-sticks en voor prijzen vanaf 10 euro. Kort daarna konden ook de beveiligingschips die al in alle moderne pc’s, smartphones en tablets zitten, worden gebruikt als FIDO2-authenticators. Met Windows, Android, macOS, iOS en iPadOS is het dus al enige tijd mogelijk om je via FIDO2 te authenticeren zonder geld uit te geven aan een speciale stick.

SLECHTS ÉÉN DRUK OP DE KNOP

Bij het aanmaken van een nieuw account in apps of op websites die de standaard ondersteunen, hoef je dankzij FIDO2 in het beste geval alleen een gebruikersnaam te kiezen. Vervolgens bevestig je in een venster of met een druk op de knop dat je je FIDO2-stick, smartphone, tablet of pc als beveiligingssleutel wilt gebruiken.

Afhankelijk van hoe een dienst de functie geïmplementeerd heeft, is je FIDO2-sleutel een tweede factor of vervangt hij het wachtwoord volledig. Als je wilt dat de beveiligingssleutel het wachtwoord vervangt, moet je de toegang beveiligen via biometrie (vingerafdruk of gezichtsscan) of pincode. Een pincode ontgrendelt de sleutel voor alle gekoppelde diensten, zodat dat het enige is wat je hoeft te onthouden. De extra bescherming is bedoeld om te voorkomen dat

vreemden die je apparaat in handen krijgen er met één druk op de knop mee kunnen inloggen. Als FIDO2 alleen een aanvulling is op het klassieke wachtwoord als tweede factor, kun je meestal zonder.

Ontwikkelaars van websites en apps kunnen FIDO2-authenticatie implementeren via de WebAuthn-interface, die door alle gangbare browsers ondersteund wordt. FIDO2 steunt ook op CTAP, wat staat voor Client to Authenticator Protocol. Browsers en besturingssystemen communiceren via CTAP met de FIDO2-authenticator, oftewel je FIDO2-stick of de beveiligingschip in je pc, smartphone of tablet.

Wanneer je je registreert bij een dienst die FIDO2 ondersteunt, genereert je authenticator een cryptografisch sleutelpaar nadat je op een knop hebt gedrukt of je gezicht of vingerafdruk hebt gescand. Die bestaat uit een zogenaamde private-key en een public-key. De public-key wordt door de dienstverlener op zijn server opgeslagen. De private-key wordt veilig opgeslagen op je authenticator.

Wanneer je in de toekomst bij de dienst inlogt, stuurt hij een cryptografische challenge naar de authenticator. In de interactie met de gebruiker wordt dan gevraagd om je authenticator te ontgrendelen door op een knop te drukken en een pincode in te typen of door een vingerafdruk of gezichtsscan te gebruiken. Het ontgrendelproces zet dan de private-key op scherp. Daarmee genereert de authenticator een cryptografische handtekening als antwoord op de cryptografische challenge. De dienst haalt de handtekening op en gebruikt de public-key die daarbij is opgeslagen om te verifiëren dat die afkomstig is van de eigenaar van het account, oftewel dat de handtekening is gegenereerd met de sleutel van de eigenaar. Het resultaat: je bent binnen enkele seconden ingelogd. De procedure beschermt tegen trojans, phishing en andere online aanvallen omdat er geen wachtwoorden zijn die kunnen worden ontfutseld. De authenticator kan niet worden gekopieerd omdat hij hardwaregebonden is: de private-keys die worden gebruikt om de cryptografische handtekening te maken, worden beschermd op de beveiligingschip, zodat trojans die niet kunnen lezen. Aangezien het domein van de website automatisch wordt meegenomen in de berekening van de cryptografische handtekening, is FIDO2 bestand tegen phishing.

HAPERENDE START

So far so good. Toch is de aanmeldmethode tot nu toe niet echt aangeslagen. Daar zijn redenen voor: terwijl Google en Microsoft de inlogprocedure al in een zeer vroeg stadium implementeerden, ging Apple pas laat meedoen en had veel langer nodig voordat FIDO2 comfortabel kon worden gebruikt met macOS, iOS en iPadOS.

De traag geïmplementeerde FIDO2-ondersteuning in het Apple-ecosysteem was echter niet het enige obstakel dat een wachtwoordvrije toekomst in de weg stond. Want het grootste voordeel van FIDO2, de binding van private-keys aan de authenticator, is ook het grootste nadeel. In het dagelijks leven ver-

hoogt het de veiligheid, maar het kost ook moeite. Als je vanaf meerdere apparaten toegang wilt tot een online account, moet je elk apparaat afzonderlijk koppelen of een gekoppelde FIDO2-stick aansluiten.

Om te voorkomen dat je wordt buitengesloten als één apparaat uitvalt of verloren gaat, moet je minimaal twee apparaten gebruiken. Dat wordt snel een gedoe, zoals een kleine rekensom laat zien: met twee apparaten en 10 accounts zijn er 20 koppelingen, met drie apparaten en 20 accounts zijn dat er 60. Voor een gewone internetgebruiker, die zich vaak de moeite bespaart om een veiliger wachtwoord dan 123456 te bedenken, was dat te veel moeite. En zo bleef het inloggen via FIDO2 een idee dat door veiligheidsfanaten werd bejubeld, maar bij lange na niet prettig genoeg werkte om als vervanging van wachtwoorden te worden beschouwd.

POGING 2

We zappen door naar vorig jaar: in mei van dat jaar waagden Microsoft en Google (ditmaal deed Apple wel meteen mee) een nieuwe poging. Ze noemen het concept passkeys, en het moet de zwakke plek van het internet weghalen. Het is gebaseerd op FIDO2, maar is wat losser qua hardwarebeperkingen. In het beste geval volstaat het om één apparaat aan een account te koppelen. De cryptografische sleutels worden vervolgens versleuteld en via de cloud gesynchroniseerd tussen alle apparaten binnen een ecosysteem. Passkeys zijn compatibel met de bestaande FIDO2-standaard, dus ze kunnen al overal worden gebruikt waar FIDO2 werkt.

De techbedrijven hadden net op tijd voor Wereldwachtwoorddag (5 mei 2022) de opvolger van het wachtwoord op basis van FIDO2 aangekondigd. Deze keer was het uitgerekend de voormalige laatkomer Apple die meteen de daad bij het woord voegde en in juni 2022 prees het bedrijf de voordelen van de passkey aan en implementeerde het direct in de updates van macOS Ventura, iOS 16 en iPadOS 16 die kort daarna uitkwamen.

Google doet het iets rustiger aan en heeft de functie in oktober vrijgegeven om te testen en in december voor iedereen beschikbaar gemaakt. Microsoft wil passkeys dit jaar breed implementeren, maar ondersteunt al wel sinds 2021 het inloggen zonder wachtwoord voor diverse soorten accounts. Het inloggen zonder wachtwoord werkt bijvoorbeeld via het gebruik maken van biometrische gegevens via Windows Hello bij Windows 10 en 11.