Mooltipass: Al je wachtwoorden in een doosje

Als je je wachtwoorden wilt synchroniseren op al je apparaten, dan is de eenvoudigste oplossing een wachtwoordbeheerder in de cloud. Maar wat nou als je je daar helemaal niet comfortabel bij voelt? Met de Mooltipass sla je wachtwoorden op in een doosje, dat je met een smartcard beveiligt.

De Mooltipass (https://www.themooltipass.com/) is een doosje dat je wachtwoorden opslaat. Je sluit het via usb aan op je computer of met een usb otg-kabel op je smartphone of tablet. In het doosje, dat overigens zo goed als volledig open source is, steek je een smartcard, waarna je op het apparaatje zelf via een wieltje met ingebouwde knop je pincode invoert.

Via het wieltje op de Mooltipass kies je ook de website waarop je inlogt, waarna het apparaatje je login en wachtwoord via de usb-kabel naar je computer stuurt. Het doet zich voor je computer immers voor als een usb-toetsenbord. Het werkt dan ook op alle computers, zonder dat drivers nodig zijn. Er zijn wel browserextensies voor Chrome, Firefox en Safari voor een betere integratie.

We ontvingen begin februari 2017 tijdens FOSDEM 2017 het nieuwste model van de Mooltipass, de Mooltipass Mini. Die hebben we nu een half jaar lang aan een duurtest onderworpen om te zien hoe het apparaatje het erin de praktijk vanaf brengt.

 

Mooltipass Mini specificaties

Afmetingen: 79 x 37 x 12 mm

Spanning: 4,75 tot 5,25 V

Stroomverbruik: tot 0,5 A

Communicatie: USB 2.0 full speed, microUSB-aansluiting

Intern geheugen: 8 Mbyte

Materiaal behuizing: geanodiseerd aluminium

Smartcard: AT88SC102

Besturing: klikbaar scrollwieltje

Scherm: 128 x 32 pixels monochroom 2,23″ blauw OLED-scherm

 

Pincode kiezen

Om te starten, moet je een nieuwe Mooltipass-gebruiker in te stellen. Bij de Mooltipass Mini komen twee smartcards, waarmee je dus twee gebruikers kunt definiëren: elke gebruiker heeft zijn eigen kaartje. Steek één van de kaarten in de Mooltipass en sluit het apparaatje op je computer aan met de meegeleverde usb-kabel.

De Mooltipass vraagt je nu om een nieuwe gebruiker aan te maken. Druk op de zijkant van het wieltje om te bevestigen. Als je met het wieltje draait, verandert het vinkje in een kruisje en als je dan drukt, antwoord je ontkennend op de vraag. Diezelfde interface komt in alle acties met de Mooltipass terug. Ook het wieltje lang ingedrukt houden, annuleert de vraag.

Daarna stel je de pincode in. Draai met het wieltje om een cijfer te kiezen. De pincode bestaat uit hexadecimale cijfers, dus dat gaat van 0 tot en met 9 en dan van A tot en met F. Druk op het wieltje om een cijfer te bevestigen en kies dan het volgende cijfer. Door lang op het wieltje te drukken ga je een positie terug als je een vorig cijfer toch wilt veranderen. Nadat je de vier cijfers van de pincode hebt ingevoerd, bevestig je ze nog eens. Daarna krijg je het hoofdmenu te zien en is je Mooltipass klaar voor gebruik. Elke keer dat je de Mooltipass aansluit op je computer met de bijbehorende smartcard erin, dien je de pincode in te voeren. Na drie keer een verkeerde pincode wordt de smartcard geblokkeerd en zijn je wachtwoorden niet meer toegankelijk.

 

MooltiApp installeren

We gaan er in dit artikel vanuit dat je je Mooltipass met Firefox wilt integreren. Daarvoor dien je eerst de software MooltiApp te installeren, die voor de communicatie tussen de browserextensie en de Mooltipass zorgt. Het is ook een interessant programma om standalone te gebruiken, zoals we straks zullen tonen.

De set-up pagina (https://www.themooltipass.com/setup) biedt 32- en 64-bits deb-bestanden aan voor Debian. We installeerden dit op een 64-bits Ubuntu 17.04-machine en reproduceerden de installatie op een 64-bits Linux Mint 18-installatie. Download het juiste deb-bestand, dubbelklik erop en klik op Install wanneer Ubuntu Software het pakket opent. Of installeer het op de commandline. Installeer dan eerst de afhankelijkheden:

 

sudo apt install gconf2 gconf-service libappindicator1

 

En daarna het pakket zelf:

 

sudo dpkg -i Downloads/MooltiApp_2.0.82_amd64.deb

 

Een gebruiker die met de Mooltipass werkt, moet onderdeel zijn van de groep plugdev, maar dat is standaard al zo in Ubuntu. Daarna heb je een udev-regel nodig die bij het inpluggen van de Mooltipass automatisch een symlink /dev/mooltipass aanmaakt en de groep plugdev daartoe toegang geeft. Onder Ubuntu 17.04 doe je dat met de volgende opdracht:

 

echo “ATTRS{idVendor}==\”16d0\”, ATTRS{idProduct}==\”09a0\”, SYMLINK+=\”mooltipass\”, MODE=\”0664\”, GROUP=\”plugdev\”” | sudo tee /etc/udev/rules.d/50-mooltipass.rules

 

Herlaad de udev-regels:

 

udevadm control –reload-rules

 

Ontkoppel daarna je Mooltipass en sluit het apparaatje opnieuw aan. Voor andere distributies of andere versies van Ubuntu gelden andere udev-regels, die vind je op de website van Mooltipass (https://www.themooltipass.com/udev_rule.txt).

 

Browserintegratie

Installeer daarna de browserextensie voor Firefox (https://addons.mozilla.org/en-US/firefox/addon/mooltipass-extension/). Als je nu op een website inlogt, krijg je op het schermpje van de Mooltipass de vraag of je de login en het wachtwoord wilt opslaan. Zodra dat is gebeurd en je later op de website opnieuw wilt inloggen, vraagt de Mooltipass of het de login en het wachtwoord voor je moet invullen. Je kunt probleemloos meerdere accounts voor dezelfde website invoeren. Bij het inloggen vraagt de Mooltipass dan met welk account je wilt inloggen. Draai aan het wieltje om een andere account te kiezen en een keuze te maken.

Voor elke interactie met de Mooltipass, of het nu het uitlezen of het veranderen van gegevens is, vraagt het apparaatje je altijd om bevestiging. Er kan dus geen toepassing smiechtig op de achtergrond je wachtwoorden uitlezen. Wel is het slim om in Firefox uit te schakelen dat de webbrowser voorstelt om je wachtwoorden te onthouden. Dat doe je in het tabblad Security door Remember logins for sites af te vinken.

Meestal werkt de browserintegratie gewoon op de achtergrond en hoef je zelf niets te doen. De extensie nestelt zich met een icoontje bovenaan rechts in Firefox. Klik je erop, dan krijg je te zien of je Mooltipass aangesloten en ontgrendeld is en kun je specifieke velden voor de login en het wachtwoord kiezen voor een website waarbij de extensie niet automatisch de juiste velden detecteert. Je krijgt ook de mogelijkheid om een website te blacklisten, waardoor de Mooltipass hiervoor nooit wachtwoorden onthoudt.

Op de instellingen gaan we dadelijk in, maar klik eerst eens in het menu van de browserextensie op Open Mooltipass App.

 

MooltiApp

Het programma MooltiApp bevat meer geavanceerde functies van de Mooltipass, maar voor een goede werking is het aan te raden om dit in het begin meteen te bekijken, vooral het tabblad Device Settings. Hier configureer je de toetsenbordindeling van je Mooltipass. Verzeker je ervan dat je hier dezelfde indeling kiest als die van je computer. Je kiest hier ook of de Mooltipass na elke login een tab uitvoert en na elk wachtwoord een enter of dat je dit zelf nog doet. Merk je dat niet alle toetsindrukken van je Mooltipass doorkomen op je scherm, stel dan een vertraging van enkele milliseconden in na elke toetsindruk, je computer is dan te traag om je Mooltipass te volgen.

Voor de veiligheid stel je in dit tabblad ook in wat de Mooltipass bij inactiviteit doet. Zo krijg je elke keer dat de browserextensie vraagt om een login en wachtwoord een aantal seconden de tijd om die vraag te bevestigen. Standaard staat dat op 15 seconden, maar verhoog dit gerust. Je kunt ook instellen dat de Mooltipass na een aantal minuten inactiviteit automatisch wordt vergrendeld. Standaard gebeurt dit niet, zodat je alleen bij het aansluiten van je Mooltipass de pincode hoeft in te voeren. Wil je meer veiligheid, dan laat je de Mooltipass zichzelf na een tijdje vergrendelen.

De helderheid van het scherm, dat standaard op 50% staat ingesteld, is ook nog aan te passen. Zelfs de minimale waarde 20% is nog perfect leesbaar. Je kunt ook “klopdetectie” inschakelen, waarbij je de vraag om een wachtwoord kunt bevestigen door met je vingers op de tafel te kloppen waarop de Mooltipass ligt. Zo hoef je niet meer het wieltje in te drukken. Zelfs de gevoeligheid van de klopdetectie is in te stellen.

Als je je Mooltipass verliest, ben je al je wachtwoorden kwijt. Zeker als je al je wachtwoorden automatisch hebt laten genereren (zie verder), dan kun je deze onmogelijk zelf nog onthouden. Een verloren Mooltipass betekent dan dus dat je geen enkel wachtwoord meer kent. Gelukkig krijg je in het tabblad Synchronization van MooltiApp de mogelijkheid om je wachtwoordlijst te exporteren naar een lokaal bestand. Hiervan maak je dan een back-up. Als je later ooit je Mooltipass verliest, koop je het apparaatje opnieuw en importeer je in hetzelfde tabblad je wachtwoordlijst van dit bestand. Op dezelfde manier synchroniseer je ook je wachtwoorden tussen meerdere Mooltipass-apparaten, bijvoorbeeld eentje bij je thuis en eentje op je werk. De geëxporteerde bestanden zijn overigens versleuteld. Ze zijn alleen te ontcijferen met behulp van de encryptiesleutel in je smartcard.

 

Credentials

Het tabblad Credentials herbergt alle functionaliteit die met je wachtwoorden te maken heeft. Als je snel, zonder gebruik te maken van de browserextensie, een login en wachtwoord wilt toevoegen (bijvoorbeeld voor een ssh-account), dan doe je dat hier. MooltiApp kan zelfs een willekeurig wachtwoord voor je genereren. Kies dan het aantal tekens waaruit het wachtwoord moet bestaan en de soorten tekens die het mag bevatten, zoals grote en kleine letters, cijfers en speciale tekens.

Er is ook een modus voor geavanceerder beheer van je wachtwoorden. Klik daarvoor op de knop Enter Credentials Management Mode. Bevestig daarna op je Mooltipass dat je de software toegang wilt geven tot al je wachtwoorden en voer je pincode in. Je krijgt nu een lijst van al je logins en wachtwoorden te zien. Je kunt credentials verwijderen, aanpassen en aan je favorieten toevoegen. Na je wijzigingen klik je op Save changes, waarna de wijzigingen naar je Mooltipass worden gestuurd.

 

Automatisch wachtwoorden genereren

Een andere handige functie, die we al in MooltiApp zagen, is het automatisch genereren van wachtwoorden. Als je immers toch al je wachtwoorden niet meer zelf hoeft te onthouden, kun je er net goed zo moeilijk mogelijke wachtwoorden van maken. Vooral in combinatie met de browserextensie werkt dat superhandig.

Ga daarvoor eerst naar de instellingen van de browserextensie. Je ziet dat het automatisch genereren van wachtwoorden daar staat ingeschakeld. Verhoog de standaard wachtwoordlengte gerust naar 20, want de standaardwaarde 12 is vrij laag.

Elke keer dat je op een website komt en een nieuw account aanmaakt, toont de browserextensie van Mooltipass rechts in de velden voor het wachtwoord en de wachtwoordbevestiging een icoontje van een blauwe sleutel. Klik erop en klik dan op Re-generate. De extensie genereert dan een willekeurig wachtwoord. Klik op Copy to all om dit wachtwoord naar alle wachtwoordvelden te kopiëren. Vul daarna ook de andere gegevens in om je op de website in te schrijven. Druk tot slot op de knop om je in te schrijven. De browserextensie pikt je accountgegevens automatisch op en vraagt om ze in je Mooltipass op te slaan.

Maar voordat je op Submit klikt, klik je nog eens op de blauwe sleutel en kies je deze keer Store or update current credentials om je login en wachtwoord in de Mooltipass op te slaan. Volgens de handleiding zou het niet nodig zijn en herkent de browserextensie automatisch wanneer je een nieuwe account aanmaakt, maar dat was bij ons niet het geval.

 

Standalone gebruik

De Mooltipass is ook zonder de browserextensie of MooltiApp te gebruiken. Zodra je je pincode hebt ingevoerd, krijg je op het schermpje van de Mooltipass immers een menu te zien. Onder LOGIN draai je met het wieltje naar een account en bevestig je je gebruikersnaam en wachtwoord.

Door aan het wieltje te draaien, terwijl je het ingedrukt houdt (niet te lang, want dan keer je naar het hoofdmenu terug), scroll je door de lijst per beginletter, wat sneller gaat als je veel accounts hebt opgeslagen.

Zijn er een paar accounts die je heel vaak nodig hebt en wil je niet elke keer door de lijst scrollen, voeg ze dan in MooltiApp toe aan je favorieten. Ze komen dan in het hoofdmenu van de Mooltipass onder FAVORITES te staan. Je scrollt door de lijst en logt ermee in op exact dezelfde manier zoals je dat onder LOGIN doet.

In het menu SETTINGS kun je de pincode van je smartcard veranderen, je smartcard klonen en alle gegevens van je gebruiker in deze Mooltipass verwijderen. Het klonen van de kaart is slim om op voorhand te doen. Je legt die gekloonde kaart dan op een veilige plaats voor het geval je jouw smartcard verliest of hij beschadigd raakt. Zonder die kloon kan je immers niet meer bij de gegevens in je Mooltipass.

Het verwijderen van je gegevens (ERASE) verwijdert alle gegevens van je gebruiker op de Mooltipass. Let op: andere gebruikers met een andere smartcard kunnen ook nog gegevens op je Mooltipass hebben staan. Die worden dan niet verwijderd. Dat moet elke gebruiker immers zelf doen met zijn eigen smartcard. En je kunt ook perfect gegevens op een andere Mooltipass hebben staan, want dezelfde smartcard is met meerdere Mooltipass-apparaten te gebruiken. Die gegevens op de tweede Mooltipass worden uiteraard niet verwijderd als je de gegevens op je eerste Mooltipass verwijdert. Na het verwijderen van de gegevens vraagt de Mooltipass overigens of je ook je smartcard wilt wissen.

 

Delen met andere apparaten

Het voordeel van de Mooltipass is dat het een draagbaar apparaatje is. Zeker de Mini neem je gemakkelijk in je jaszak overal mee. Je kunt dan ook eenvoudig op andere computers je wachtwoorden invoeren. MooltiApp bestaat ook voor Windows en macOS, dus de browserintegratie werkt op de meeste besturingssystemen.

Zelfs zonder de browserintegratie is de Mooltipass heel handig, bijvoorbeeld op een computer waarop je de browserextensie niet hebt geïnstalleerd. Dan draai je gewoon aan het wieltje op het apparaatje om je account te kiezen tijdens het inloggen. Met een usb otg-kabel werkt dat zelfs op een Android-telefoon. Al moet je die otg-ondersteuning bij sommige toestellen nog wel expliciet inschakelen. Let daarop als je Mooltipass schijnbaar niet herkend wordt.

Waar je ook op moet letten als je op meerdere apparaten met de Mooltipass werkt, is dat je op al deze apparaten dezelfde toetsenbordindeling hebt. Doe je dat niet, dan zien je wachtwoorden er immers op verschillende apparaten anders uit. Ik heb dit zelf meegemaakt toen ik de Mooltipass voor het eerst op mijn Android-telefoon aansloot. Die stond blijkbaar op qwerty ingesteld, wat ik nooit gemerkt had, omdat ik nog nooit een fysiek toetsenbord had aangesloten, terwijl de pc waarop ik de wachtwoorden had aangemaakt een Belgisch azerty-toetsenbord heeft. MacOS is trouwens heel vervelend op dit gebied: als je een nieuw toetsenbord aansluit (zoals de Mooltipass), vraagt macOS om enkele toetsen in te drukken om automatisch de toetsenbordindeling te bepalen. Maar dat is natuurlijk niet mogelijk met een apparaatje zoals de Mooltipass…

 

Open source

De Mooltipass is een open source project op alle gebieden: software, firmware en hardware. In de GitHub-repository (https://github.com/limpkin/mooltipass) vind je informatie over de bootloader, datasheets van de gebruikte componenten, elektronische schema’s en zelfs de graveringen in de behuizing. Ook MooltiApp en de browserextensies zijn open source. Bovendien is er al third-party software ontwikkeld, zoals Moolticute (https://github.com/raoulh/moolticute), een alternatief voor MooltiApp dat ook buiten de webbrowser bruikbaar is en een ssh-agent voor Moolticute (https://github.com/raoulh/moolticute_ssh-agent). Bovendien biedt Mooltipy (https://github.com/oSquat/mooltipy) een krachtige Python-bibliotheek en commandline tool.

 

Conclusie

Na een half jaar gebruik te maken van de Mooltipass Mini is de conclusie: ja, dit is een erg gemakkelijk apparaatje om veilig je wachtwoorden te beheren. Je moet er natuurlijk wel aan denken dat je altijd je Mooltipass en smartcard bij je hebt als je overal bij je wachtwoorden wilt.

Soms werkt iets niet volledig zoals het hoort. Zo laat de browserextensie ons niet in Bol.com inloggen, maar denkt ze dat we aanklikken dat we ons wachtwoord zijn vergeten wanneer we automatisch met de Mooltipass inloggen. Van andere websites worden de loginvelden weer niet herkend. Lastig, maar dan loggen we gewoon manueel in met het wieltje van de Mooltipass. Ondanks die kleine gebreken zijn onze wachtwoorden nu veel veiliger dan vroeger.