Les 2: Ethiek & Security

Ethiek & Security

SEP-I

Les 2 / Week 12

1 / 19

Slide 1: Slide

ICTMBOStudiejaar 1

This lesson contains 19 slides, with text slides and 1 video.

Lesson duration is: 50 min

Items in this lesson

Ethiek & Security

SEP-I

Les 2 / Week 12

Slide 1 - Slide

This item has no instructions

Ethiek

Meldplicht datalekken
Privacy by Design
Privacy by Default
"Dark Patterns"

Slide 2 - Slide

This item has no instructions

Meldplicht datalek

Als je een datalek hebt ben je verplicht om dat te melden! Het is immers belangrijk dat je gebruikers weten welke gegevens op straat liggen.

Slide 3 - Slide

This item has no instructions

Privacy by Design

Vanaf het moment dat je begint met het plannen en ontwerpen van je applicatie houd je al rekening met hoe je de privacy gaat waarborgen.

Slide 4 - Slide

This item has no instructions

Privacy by Default

Privacy by Default
Met andere woorden de "default" (standaard) is dat je respect hebt voor de privacy van je gebruikers.

Slide 5 - Slide

This item has no instructions

Dark Patterns

Inhakend op 'Privacy by Default', zijn er zogenoemde "Dark Patterns". Designpatronen die zijn bedoeld om gebruikers in de maling te nemen, en ze iets te laten doen wat ze eigenlijk niet willen.

Slide 6 - Slide

This item has no instructions

Gefopt.

Slide 7 - Slide

This item has no instructions

Slide 8 - Video

This item has no instructions

Security

Plichten
HTTPS
Wachtwoorden gebruiken
Wachtwoorden opslaan

Hackers kun je herkennen aan hun bivakmuts die ze altijd dragen tijdens het hacken.

Slide 9 - Slide

This item has no instructions

Security

De AVG stelt dat bedrijven “passende maatregelen” moeten nemen op technisch vlak om de veiligheid van persoonsgegevens te waarborgen.

In ieder geval; HTTPS, alles met veilige wachtwoorden beveiligd, en gehashd wachtwoorden van gebruikers opslaan.

Als er data op straat komt te liggen door onvoldoende beveiliging is dat de schuld van het bedrijf wat de data heeft beheerd!

Slide 10 - Slide

This item has no instructions

HTTPS

Een HTTPS verbinding is tegenwoordig niet meer weg te denken van het internet. Zonder HTTPS is het mogelijk voor iedereen op de lijn om alles af te luisteren.

Zorg er voor dat je een webhost gebruikt die via HTTPS werkt!

Slide 11 - Slide

This item has no instructions

Veilige wachtwoorden kiezen

Paar richtlijnen:

Langer is beter
Passphrase > password
Gebruik een password manager
Hergebruik wachtwoorden niet
Géén welkom123

Slide 12 - Slide

This item has no instructions

Wachtwoorden opslaan

Wachtwoorden zijn extreem gevoelige gegevens. We willen eigenlijk onder geen enkele omstandigheid dat het wachtwoord van een gebruiker beschikbaar is; zowel voor de beheerders van het systeem, als voor hackers.

Het probleem is dan: hoe zorgen we er voor dat we niet het wachtwoord opslaan, maar toch weten dat een gebruiker het juiste wachtwoord invult?

Slide 13 - Slide

This item has no instructions

Hashing functies

"A hash function is any function that can be used to map data of arbitrary size to fixed-size values."

https://en.wikipedia.org/wiki/Hash_function

Slide 14 - Slide

This item has no instructions

Hashing functies

Specifiek kunnen we er met een hash-functie voor zorgen dat we van het wachtwoord een waarde kunnen maken die we niet terug kunnen herleiden tot een wachtwoord. Het is dus een functie die maar één kant op werkt.

Slide 15 - Slide

This item has no instructions

Hashing functies

Gelukkig hoeven we zelf geen hashing functies te schrijven, want die zijn al netjes bedacht en beschikbaar.

Om wachtwoorden op te slaan gebruiken we typisch het SHA512 algoritme, maar er zijn meerdere beschikbaar.

We gebruiken in ieder geval niet MD5 om wachtwoorden op te slaan.

Secure Hash Algorithm

Slide 16 - Slide

Wikipedia:

MD5 (Message Digest Algorithm 5) is een veelgebruikte hashfunctie met een 128 bit-hashwaarde. Hoewel MD5 oorspronkelijk bedoeld was als cryptografische hashfunctie bleken er een hoop fouten in het ontwerp te zitten. MD5 is eerder als internetstandaard[1] gebruikt in vele veiligheidstoepassingen en wordt ook gebruikt om de integriteit van bestanden te controleren tegen onbedoelde corruptie. MD5 werd door Ronald Rivest in 1991 ontworpen om de eerdere hashfunctie MD4 te vervangen. In 1996 werd er een fout in het MD5-ontwerp gevonden; hoewel het geen ernstige fout was, werd het aanbevolen andere algoritmen zoals SHA-1 te gebruiken. (hoewel ook deze gelijke fouten bevat)

Rainbow tables

Hashing functies zijn dus niet omkeerbaar. Maar je kan wel van alle mogelijke inputs de hash berekenen en die dan later opzoeken. Dit gebeurt in zogenaamde Rainbow Tables.

Dit zijn tabellen waar voor bepaalde hash-functies de meest voorkomende wachtwoorden als hash zijn opgeslagen.

Slide 17 - Slide

This item has no instructions

Rainbow tables & salts

Naast een onbekend wachtwoord kiezen kun je je ook wapenen tegen rainbow tables met zogenaamde "salts". Een salt is een stukje tekst wat je voor of achter een wachtwoord plakt voordat het de hash-functie in gaat. Op die manier wordt het wachtwoord dus uniek aan jouw site of zelfs aan die gebruiker, en wordt het opzoeken in een rainbow table onmogelijk.

Slide 18 - Slide

This item has no instructions

Inleveropdracht: Hashes kraken

Op it's learning staat een opdracht over hash-algoritmen.

Lever een word document in met de antwoorden op alle gestelde vragen.

Slide 19 - Slide

This item has no instructions

Les 2: Ethiek & Security

Items in this lesson

Slide 1 - Slide

Slide 2 - Slide

Slide 3 - Slide

Slide 4 - Slide

Slide 5 - Slide

Slide 6 - Slide

Slide 7 - Slide

Slide 8 - Video

Slide 9 - Slide

Slide 10 - Slide

Slide 11 - Slide

Slide 12 - Slide

Slide 13 - Slide

Slide 14 - Slide

Slide 15 - Slide

Slide 16 - Slide

Slide 17 - Slide

Slide 18 - Slide

Slide 19 - Slide

More lessons like this

Les 2: Ethiek & Security

Wk13A - Security & Privacy

Security Cryptografie en Encryptie

E security - H1 veiligheid

E security - H1 veiligheid

rainbow

Owasp top 10

PRO - SEPII - Deel3