Beveilig je gegevens met een versleutelde USB-stick
Kan ik mijn USB-stick beveiligen?
Ongeacht het merk, de opslagcapaciteit, het USB-type (USB-A of USB-C), de USB-standaard (USB 2.0, USB 3.0, …) of het bestandssysteem (exFat, NTFS, …), je kunt iedere USB-stick versleutelen.
Versleuteling (of encryptie) zorgt ervoor dat je alleen via een wachtwoord toegang kunt krijgen tot de USB-stick of de bestanden die er op staan. Er zijn USB-sticks waarbij de versleuteling softwarematig moet, d.w.z. via een programma op je pc. En andere sticks waarbij de versleuteling hardwarematig gebeurt, d.w.z via een specifieke chip op de USB-stick zelf.
Waarom een USB-stick beveiligen?
Je gebruikt een USB-stick beter niet als de primaire opslagplaats van je bestanden, maar je kunt er wel (een deel van) je bestanden naar back-uppen. Het voordeel is dat je een USB-stick makkelijk kunt meenemen. Door zijn kleine formaat kun je hem wel snel kwijt geraken.
Om te voorkomen dat in dat geval iemand zomaar toegang heeft tot je bestanden kan je je USB-stick extra beveiligen, zeker als er belangrijke of gevoelige bestanden op de stick staan.
Hoe versleutel ik mijn USB-stick?
Soorten versleuteling bij USB-sticks
Als het gaat om versleuteling zijn er twee soorten.
Softwarematige versleuteling
Dit type versleuteling kan je bij iedere “gewone” USB-stick toepassen. Je geeft dan aan een programma op je pc aan welke bestanden je wilt versleutelen.
Je stelt een wachtwoord in, het programma versleutelt de bestanden en stuurt ze dan naar de USB-stick. Zonder wachtwoord zijn de bestanden niet toegankelijk. Door het wachtwoord in te geven als je de USB-stick opnieuw aansluit, kan je de bestanden ontsleutelen (decrypteren) en kan je ze weer gewoon lezen. Voorbeelden van dergelijke software zijn Bitlocker en VeraCrypt (zie verder).
Sommige fabrikanten leveren versleutelingssoftware mee op de USB-stick. Je kunt het programma dan op je pc installeren.
Hardwarematige versleuteling
Bij dit type gebeurt de versleuteling niet door een programma op je pc, maar door een specifieke chip op de USB-stick zelf. Dat is veiliger omdat de versleuteling op die manier sowieso de USB-stick in zijn geheel omvat en bovendien genereert zo’n chip voor iedere USB-stick een unieke encryptiesleutel die onmogelijk te achterhalen is.
Ook hier ga je als gebruiker een wachtwoord instellen, maar via het wachtwoord geef je gewoon het commando aan de chip om zijn werk te doen. Zonder toegang tot het wachtwoord zijn USB-sticks met hardwarematige versleuteling quasi onmmogelijk te kraken.
Dit type USB-sticks bestaat in twee varianten: met of zonder fysiek toetsenbord (“keypad”).
Wil je een USB-stick met hardware-encryptie kopen? We hebben 10 USB-A-sticks van 128 GB met hardware-encryptie getest. Ontdek hier welke USB-sticks we aanraden.
Testresultaten USB-sticks met hardware-encryptie
Zo versleutel je je USB-stick via software
Er bestaat verschillende losse software om zelf de bestanden op een USB-stick te versleutelen. Soms wordt de software door de fabrikant ook op de USB-stick meegeleverd. Wij tonen hoe je te werk gaat via:
- VeraCrypt, een degelijk gratis programma voor Windows Home
- De ingebouwde tool op MacOS
Windows: softwarematige versleuteling via VeraCrypt
Werk je met Windows 10 Home, dan is VeraCrypt een goed gratis programma. De tool is heel uitgebreid, maar wij tonen de meest gangbare stappen om een wachtwoord in te stellen.
- Sluit je USB-stick aan en open na installatie VeraCrypt. Klik op Volume aanmaken.
- Kies Een niet-systeempartitie/schijf versleutelen om je volledige USB-stick te versleutelen en vervolgens Standaard VeraCrypt-volume.
- Selecteer je USB-stick via de knop Apparaat selecteren. Als er slechts één partitie op de schijf staat, is het mogelijk dat er een foutmelding verschijnt als je aangeeft dat de volledige schijf versleuteld moet worden. Dat los je op door die ene partitie te selecteren. De naam van de partitie is iets als “\Device\Harddisk1\Partition1 D:”. Klik erop en kies OK.
- Je komt op het scherm Modus volume aanmaken. Kies Versleuteld volume aanmaken en het formatteren. Let op: de gegevens op de stick worden zo wel gewist. Maak er dus vooraf een back-up van zodat je ze nadien kunt terugzetten. Wil je niet dat je gegevens gewist worden, kies dan de andere optie. Het versleutelingsproces duurt dan wel langer.
- Via het scherm Versleutelingsopties kan je het coderings- en hash-algoritme kiezen. Als je niet weet wat dit betekent, behoud dan gewoon de standaardwaarden.
- Controleer of de grootte van het te versleutelen volume in orde is en stel een wachtwoord in.
- Kies of je bestanden groter dan 4 GB wilt opslaan en kies Volgende.
- Kies op het scherm Volume formatteren een bestandssysteem (bv. exFAT, dat is compatibel met zowel Windows als Mac). Beweeg op het scherm willekeurig je muisaanwijzer in het aangegeven venster totdat de voortgangsbalk vol is. Klik op Formatteren. Dit proces kan even duren.
- Om je USB-stick te openen nadat deze versleuteld is, moet je hem telkens als je hem aansluit via VeraCrypt koppelen met je pc: nadat je je schijf hebt aangesloten, krijg je eventueel de melding dat de “oude” stationsletter niet toegankelijk is en dat je je USB-stick moet formatteren. Dat mag je negeren en je kunt de meldingen wegklikken. Open VeraCrypt en selecteer een stationsletter uit de lijst (bijvoorbeeld H). Let op: dit moet een andere letter zijn dan de oorspronkelijke stationsletter. Klik op Automatisch koppelen, geef je wachtwoord in en klik op OK.
- Je kunt je USB-stick openen vanuit VeraCrypt of, na het koppelen, vanuit Windows Verkenner.
- Als je de USB-stick wilt uitwerpen, klik dan via VeraCrypt eerst op Ontkoppelen.
MacOS: softwarematige versleuteling via de ingebouwde software
Mac-gebruikers kunnen met behulp van een ingebouwde tool de toegang tot een externe drager beveiligen. Gebruik je liever externe software, dan is VeraCrypt een mogelijke optie (zie hierboven).
Bij het instellen van een wachtwoord zal MacOS de gegevensdrager wel eerst formatteren (en de gegevens dus wissen), maak daarom vooraf een back-up zodat je de gegevens nadien kunt terugzetten of stel de beveiliging in voordat je gegevens op de drager plaatst.
- Open Schijfhulpprogramma en kies in de linkerkolom de schijf die je wilt beveiligen.
- Klik bovenaan het venster op Wis. Je kunt het station nu een nieuwe naam geven en je moet ook een Indeling en Structuur selecteren. Bij Indeling kies je GUID-partitie-indeling, bij Structuur kies je een versleutelde bestandssysteemstructuur zoals APFS (versleuteld) of Mac OS Uitgebreid (journaled, versleuteld).
- Geef een wachtwoord in en bevestig via Kies. Klik vervolgens op Wis. MacOS zal de gegevensdrager nu formatteren en versleutelen.
Onze testresultaten en beoordelingen van de beste versleutelde USB-sticks
Op zoek naar de beste USB-stick met encryptie? In de volgende sectie hebben we 10 USB-A-sticks van 128 GB met hardware-encryptie getest en beoordeeld op hun beveiligingsniveau, prijs en snelheid. Hoewel deze categorie sticks duurder is dan de gewone USB-sticks, voldoen alle geteste apparaten aan de hoogste beveiligingsstandaarden en zijn ze beschermd tegen brute force-aanvallen. De gebruiker blijft echter verantwoordelijk voor het instellen van een sterk toegangswachtwoord.
Bekijk hier de testresultaten van 10 USB-sticks met hardware-encryptie.
We hebben 10 USB-A-sticks van 128 GB met hardware-encryptie getest.
Hoge graad van beveiliging
Deze categorie USB-sticks is vrij prijzig. Kost een gewone USB-stick van 128 GB €15 tot €30, dan ligt de prijs van beveiligde USB-sticks vele malen hoger, van €95 tot zelfs € 400.
Maar het moet gezegd: op vlak van beveiliging voldoen alle apparaten en verhinderen ze dat de eerste de beste bij je gegevens kan. Dat maken fabrikanten kenbaar via labels als “FIPS 197”, “FIPS 140-2 Level 3” of “FIPS 140-3 Level 3”. Dit betekent simpel gezegd dat de gebruikte graad van encryptie voldoet aan de hoogste beveiligingsstandaarden.
Sterk wachtwoord vereist
De fabrikanten van de geteste USB-sticks mogen hun zaakjes qua beveiliging dan wel op orde hebben, het blijft nog altijd de verantwoordelijkheid van de gebruiker om een sterk toegangswachtwoord in te stellen. De meeste fabrikanten helpen wel een handje en laten bijvoorbeeld geen al te makkelijk te raden pincodes toe of vereisen een minimum aantal cijfers of karakters.
Bovendien zijn alle USB-sticks beveiligd tegen zogenaamde brute force-aanvallen. Als ze in de verkeerde handen vallen en er een vooraf ingestelde limiet van foutieve inlogpogingen wordt overschreden (meestal 10 of 20), worden de USB-sticks vergrendeld en moeten ze opnieuw worden geformatteerd. Natuurlijk betekent dat ook dat je als gebruiker nooit je wachtwoord mag vergeten.
Niet allemaal even snel
De verschillen tussen de geteste USB-sticks hebben vooral te maken met verschillen in lees- en schrijfsnelheid. De Keypad Secure van Verbatim liet de hoogste leessnelheid (166 MB/s) en schrijfsnelheid (105 MB/s) optekenen. De Ironkey Vault Privacy 50 en Ironkey D300S van Kingston behaalden gelijkaardige snelheden. Helemaal onderaan bengelt de datAshur Pro 2 van iStorage. Die haalde een lees- en schrijfsnelheid van slechts 61 MB/s respectievelijk 49 MB/s.
Onze keuze: Verbatim Keypad Secure
Gemiddelde prijs: € 99
Uitstekende USB-stick met hardware-encryptie die sneller en goedkoper is dan de concurrentie. Fysiek toetsenbord maakt hem veiliger dan USB-sticks zonder. Werkt ook met tv’s, printers en routers.
Hoe versleutel ik een USB-stick met hardware-encryptie?
Een USB-stick met ingebouwde hardware-encryptie versleutelen is heel eenvoudig. De achterliggende encryptiemethodes zijn misschien ingewikkeld, maar als gebruiker is het niet moeilijk om een USB-stick met hardware-encryptie te gebruiken.
We geven een voorbeeld van een stappenplan voor een USB-stick met hardware-encryptie zonder keypad en één met keypad. Uiteraard kunnen de stappen per merk verschillend zijn.
USB-stick met hardware-encryptie zonder keypad
Kingston Ironkey Vault Privacy 50
1. Sluit de USB-stick en kies om Kingston.exe uit te voeren.
2. Stel een sterk wachtwoord in. Je kunt ook kiezen om een wachtzin in te stellen. Bij deze stick kan je twee gebruikers aanmaken, een “admin” en “user” account. Eventueel kan dat nuttig zijn als je de USB-stick met iemand deelt.
4. Vul eventueel een aantal gegevens in (naam, bedrijf, ...), maar je kunt dit ook overslaan.
5. De USB-stick wordt nu versleuteld.
6. Als je de USB-stick aansluit, kan je via de IronKey software je wachtwoord ingeven en de stick gebruiken.
USB-stick met hardware-encryptie met keypad
Verbatim Keypad Secure
1. Verbind de USB-stick met je pc en houd de vergrendelknop op de USB-stick ingedrukt tot de oranje en rode LED-lampjes oplichten. Laat de vergrendelknop los.
2. Geef de default pincode in (“00000”) en druk op de ontgrendelknop. De oranje LED gaat uit.
3. Geef je nieuwe pincode in en bevestig door op de ontgrendelknop te drukken.
4. Als je de USB-stick aansluit, kan je die nu ontgrendelen via je eigen pincode.
5. De USB-stick moet nu nog geïnitialiseerd worden om hem in de Verkenner of Finder te kunnen zien.
- In Windows
1. Rechtsklik op Deze pc > Beheren. Kies Opslag > Schijfbeheer.
2. Windows herkent automatisch de te initialiseren USB-stick. Kies GPT bij partitiestijl en klik op OK.
3.De USB-stick staat er nu als een Niet-toegewezen volume. Rechtsklik erop en kies Nieuw eenvoudig volume.
4.De wizard van Windows helpt je een volume toe te wijzen (i.e. een stationsletter aan de USB-stick toewijzen, een bestandssysteem kiezen, …)
5. Als je nu de USB-stick aansluit en de pincode ingeeft, vind je de stick in de Verkenner terug.
- In MacOS
1. MacOS geeft aan dat de USB-stick niet kan worden gelezen. Druk op Initialiseer. Schijfhulpprogramma wordt geopend.
2. Selecteer links de USB-stick en vervolgens bovenaan Wis.
3. Je kunt het station nu een nieuwe naam geven en je moet ook een Indeling en Structuur selecteren. Bij Indeling kies je GUID-partitie-indeling, bij Structuur kies je APFS of Mac OS Uitgebreid (journaled).
4. Klik op Wis.
5. Als je nu de USB-stick aansluit en de pincode ingeeft, vind je de stick in de Finder terug.