Cyber Security

"Gratis opzet", maar moet nog veel aan veranderen.

1 Wat is Cyber Security?

🎯 Leerdoelen

• Je weet wat Cyber Security is en waarom het belangrijk is.
• Je kent verschillende soorten cyberaanvallen.
• Je kunt voorbeelden noemen van echte incidenten en uitleggen wat er fout ging.

💡 Uitleg

Cyber Security betekent simpel gezegd: het beschermen van computersystemen tegen aanvallen of misbruik. Denk hierbij aan het veilig houden van je website, je wachtwoorden, je e-mails en alle andere digitale gegevens.

Als je een website of app bouwt, ben je automatisch verantwoordelijk voor de veiligheid van de gegevens van je gebruikers. Hackers proberen vaak in te breken via bekende zwakke plekken, zoals slechte wachtwoorden of fouten in je code.

Voorbeelden van cyberaanvallen:

1. Phishing: iemand probeert jou te misleiden om je wachtwoord af te geven (bv. via een nep-mail van je bank)
2. Malware: schadelijke software zoals een virus, ransomware of spyware
3. Virus: speciaal soort malware dat zichzelf kan vermenigvuldigen (net als het Corona virus).
4. DDoS-aanval: een server wordt overspoeld met aanvragen en raakt onbereikbaar
5. SQL-injection: via een formulier wordt je database gehackt
6. Man-in-the-middle: iemand onderschept je gegevens tussen jou en een website

👉 Je gaat in deze module zien hoe aanvallen werken én hoe je jezelf (en jouw code) daartegen kunt beschermen.

Cyberaanvallen maken gebruik van kwaadaardige software.software. 

🛠️Opdracht 1, kwaadaardige software

Hierboven staat een lijst van 6 soorten cyberaanvallen. Welke van deze maakt niet per sé gebruik van kwaadaardige software?

LetZoek informatie op internet en leg uit!

Geef minimaal één bron goede bronvermelding.

🛠️Opdracht 2, risico

Hierboven zijn 6 voorbeelden van cyberaanvallen beschreven. Zoek zelf op wat de volgende soorten cyberaanvallen betekenen:

1. Ransomware
2. Trojan
3. Spyware
4. Adware
5. Keylogger

Zet deze 6 soorten op volgorde van gevaarlijkheid (volgens jou) en leg bij elk type uit waarom je het op die plek zet.

Geef je bronvermelding.

🛠️ Opdracht 3, Incident analyseren

1. Zoek online naar een bekend cyber security-incident (bijv. een datalek, hack, ransomware-aanval of lek bij een grote organisatie).
2. Schrijf in je eigen woorden:
   • Wat er is gebeurd
   • Wat het gevolg was
   • Wat ze beter hadden kunnen doen
     
3. Voeg een link toe naar de bron vanGeef je informatie.bronvermelding.

🧠 Opdracht 4, Reflectie

• Waarom denk jij dat veel mensen niet nadenken over digitale veiligheid?
• Wat is iets waar jij op gaat letten sinds je deze les hebt gevolgd?

📤 Inleveren

• Beschrijf alle het antwoord op alle 4 de opdrachten. Neem de vraag over en weer de vraag daarna uit.
  Werk netjes en lever een PDF in. 
  

2 HTTPS en netwerkveiligheid

🎯 Leerdoelen

• Je begrijpt het verschil tussen HTTP en HTTPS.
• Je weet waarom SSL-certificaten belangrijk zijn voor beveiligde communicatie.
• Je kunt een eigen website beveiligen met HTTPS.

💡 Uitleg

Wat is het verschil tussen HTTP en HTTPS?

HTTP betekent dat gegevens onversleuteld worden verzonden. Iedereen die tussen jou en de server in zit (zoals hackers op een openbaar netwerk), kan meekijken.

HTTPS (de S staat voor Secure) gebruikt een SSL-certificaat om alle communicatie tussen jouw browser en de server te versleutelen.

Waarom is HTTPS belangrijk?

• Het voorkomt dat anderen je gegevens kunnen onderscheppen.
• Het zorgt voor vertrouwen bij je bezoekers (slotje in adresbalk).
• Google straft HTTP-sites af in zoekresultaten (door niet op een goede positie te zetten)

Wat is een SSL-certificaat?

Een SSL-certificaat is een soort digitaal paspoort voor je website. Het zorgt ervoor dat bezoekers zeker weten dat ze verbinding hebben met jóuw site, en dat de data versleuteld is.

🔒 Waarvoor biedt HTTPS wél bescherming?

HTTPS zorgt ervoor dat de verbinding tussen jouw computer en een website veilig is. Dat betekent:

1. Niemand kan meekijken met wat jij invult of leest (zoals je wachtwoord of bankgegevens).

2. Niemand kan de informatie veranderen terwijl die onderweg is.

3. Je weet zeker dat je met de echte website praat (en niet met een nepserver), als het certificaat klopt.

Denkbij https  aan een afgesloten envelop in plaats van een open briefkaart: anderen kunnen het bericht niet lezen of aanpassen.

❌ Waarvoor biedt HTTPS géén bescherming?

HTTPS voorkomt niet alles. Het beschermt je niet tegen:

1. Nepwebsites met een slotje – criminelen kunnen ook een HTTPS-site maken die er echt uitziet.

2. Phishing – als je op een valse link klikt en je wachtwoord daar invult, ben je nog steeds de klos.

3. Virussen of malware – als je iets downloadt, controleert HTTPS niet of het veilig is.

4. Slechte wachtwoorden – HTTPS helpt niet als jij zelf een zwak of gestolen wachtwoord gebruikt.

 

🧠 Reflectie

1. Waarom is HTTPS extra belangrijk op loginpagina’s? Leg uit wat het risico is.
2. Wat zou er kunnen gebeuren als je een onbeveiligde (HTTP) verbinding gebruikt in een openbaar WiFI netwerk? Leg uit wat het risico is.
3. Je gaat naar www.nu.nl (voor het nieuws) en stel dat je geen slotje ziet en er dus geen SSL verbinding is gemaakt. Wat kan er mis gaan? Wat is het risico?
4. Je meldt je aan voor een sport evenement op een onbeveiligde (HTTP) site. Leg uit wat het risico is.
5. Je hebt een website op je laptop draaien en een medestudent bezoekt deze website vir een onbeveiligde (HTTP) verbinding. Leg uit wat het risico is.
6. Zet alle risico's (nummer 1 t/m 5) op volgorde van gevaarlijkheid. Motiveer je antwoord.

De refelctie is een verslag in je eigen woorden, AI input wordt niet geaccepteerd!

Deze vragen komen terug in de kennis-check!

📤 Inleveren

• Lever je reflectie in als een .pdf

3 Encryptie en Hashing

🎯 Leerdoelen

• Je weet wat encryptie en hashing betekenen en waarvoor ze gebruikt worden.
• Je kunt een eenvoudige versleuteling (Caesar cipher) herkennen en kraken.
• Je kunt wachtwoorden op een veilige manier hashen in PHP.

💡 Uitleg

Wat is encryptie?

Encryptie (versleuteling) betekent dat je gegevens onleesbaar maakt voor anderen. Alleen iemand met de juiste ‘sleutel’ kan de gegevens weer ontcijferen.

• Symmetrisch: dezelfde sleutel voor versleutelen en ontsleutelen (bijv. Caesar cipher).
• Asymmetrisch: verschillende sleutels voor versleutelen en ontsleutelen (zoals bij HTTPS).

🔎 Verdieping over symeterische en asymetrische encryptie

Leg uit, hoe werkt dat asymentrisch precies?

Stel iedereen heeft een eigen brievenbus met twee sloten met twee sleutels: een public key waarmee je een brief in de brievenbus kan stoppen en een private key waarmee de eigenaar de brievenbus kan openen en de inhoud kan bekijken.

“Wil je mij iets sturen?   Gebruik dan deze publieke sleutel (= mijn slotje).”       Alleen jij kunt de brievenbus openen, want jij hebt de privé-sleutel die bij dat slotje hoort.

Waarom zou assymentrische encryptie beter zijn dan symetrische encryptie?

🔐 Symmetrische encryptie

• Sleutel is geheim en wordt gedeeld

• Je gebruikt dezelfde sleutel om iets te versleutelen én te ontsleutelen.

• Probleem: je moet die geheime sleutel veilig delen, en dat is lastig.

🔐 Asymmetrische encryptie

• Gebruikt twee sleutels:

  • Een publieke sleutel (om te versleutelen)

  • Een privé sleutel (om te ontsleutelen)

• Je kunt de publieke sleutel vrij geven aan iedereen, want alleen jij kunt de boodschap met je privé sleutel openen.

🤔 Waarom is asymmetrische encryptie beter?

• De privé sleutel hoef je nooit met iemand te delen en de kans dat deze prive sleutel in verkeerde handen komt is dan dus kleiner.

Waarom zou je symetrische encryptie nog geberuiken als assymentrische encryptie beter is?

🔧 Kort gezegd:

• Asymmetrisch = veilig, wat meer complex en trager.

• Symmetrisch = iets minder veilig, maar wel snelen en eenvoudig

Om dat symetrische encrytie sneller en eenvoudiger is wordt die voroal gebruikt daar waar de sleutel snel veranderd dan is het niet zo erg als de sleutel in verkeerde hamden komt omdat er dan weer een neiuwe sleutel wordt gebruikt.

✅ Wat is hashing?

Hashing is eenrichtingsversleuteling: je zet een waarde om in een versleutelde vorm die je niet meer kunt terugrekenen naar het origineel. Dit wordt vaak gebruikt voor het veilig opslaan van wachtwoorden.

In PHP kun je een wachtwoord hashen met:

$hash = hash("sha256", "geheim123");

Het resultaat is bijvoorbeeld: $2y$10$f0849a42909dc18035cb470d239e485acbc1cdd1e48bc41f7a2801e3b08bdbdb

Je kunt dit niet terug rekenen naar geheim123

🔑 Wat gebeurt er bij het inloggen?

Bij het inloggen controleer je of het ingevoerde wachtwoord overeenkomt met de opgeslagen hash:

if hash("sha256", $ingevoerdWachtwoord) == $hash {
    echo "Ingelogd!";
}

⚠️ Je moet het zo zien dat het ingevoerde wachtwoord opnieuw wordt omgezet met de hash-functie. Is het resultaat hetzelfde als de opgeslagen $hash dan is het ingevoerde wachtwoord goed.

 

< vanaf hier verder controleren>

 

 

🛠️ Opdracht – Hashen met PHP

1. Maak een PHP-bestand waarin je:
   • Een wachtwoord laat invoeren via een formulier
   • In de code heb je wachtwoord via een hash opgeslagen in een variabele.
     bijvoorbeeld: 
     $password_hash = "xzH8FiXAnYbVXk...........";
   • Het wachtwoord hasht met password_hash()
   • En daarna weer controleert met password_verify()
2. Test je formulier en test of je wachtwoord op de juiste manier wordt gevalideerd.

🧠 Reflectie

• Waarom is het geen goed idee om wachtwoorden versleuteld op te slaan in plaats van gehashed?
  
• Waar zou je in jouw eigen sites hashing kunnen toepassen?

📤 Inleveren

• Een kort verslag waarin staat:
  • De originele Caesar-tekst
  • Een screenshot van je PHP-code met hashing
  • Je reflectie
• Bestandsnamen:
  • encryptie-.jpg
  • encryptie-reflectie-.pdf

3 SQL Injection in PHP

🎯 Leerdoelen

• Je begrijpt wat een SQL Injection is en waarom het gevaarlijk is.
• Je kunt zelf een simpele SQL Injection uitvoeren op een onveilige PHP-pagina.
• Je kunt uitleggen hoe je dit soort aanvallen voorkomt.

💡 Uitleg

Bij een SQL Injection wordt misbruik gemaakt van een fout in je code, waarbij de invoer van een gebruiker direct in een SQL-query wordt gezet. Als je niet oppast, kan een hacker zo gegevens uit je database stelen of zelfs verwijderen.

Een klassiek voorbeeld is een inlogformulier waarin de gebruikersinvoer zonder controle in de query komt te staan:

<?php
$conn = new mysqli("localhost", "root", "", "testdb");

$username = $_POST['username'];
$password = $_POST['password'];

$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = $conn->query($sql);

if ($result->num_rows > 0) {
    echo "Welkom!";
} else {
    echo "Ongeldige login.";
}
?>

Als een aanvaller het volgende invoert:

Gebruikersnaam: ' OR '1'='1
Wachtwoord: watdanook

dan wordt de SQL-query dit:

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = 'watdanook'

Omdat '1'='1' altijd waar is, kan de aanvaller inloggen zonder wachtwoord te kennen.

🛠️ Opdracht – Voer een SQL Injection uit

1. Maak een database testdb met een tabel users:

   CREATE TABLE users (
     id INT AUTO_INCREMENT PRIMARY KEY,
     username VARCHAR(255),
     password VARCHAR(255)
   );

2. Voeg een gebruiker toe:

   INSERT INTO users (username, password) VALUES ('admin', 'admin123');

3. Maak een PHP-bestand login.php met bovenstaande onveilige code.
4. Maak een formulier met twee velden: username en password.
5. Voer een SQL-injection uit zoals hierboven uitgelegd. Wat gebeurt er?

🛠️ Vervolgopdracht – Beveilig je formulier

1. Pas de code aan zodat je gebruik maakt van prepared statements:

<?php
$conn = new mysqli("localhost", "root", "", "testdb");

$username = $_POST['username'];
$password = $_POST['password'];

$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();

$result = $stmt->get_result();

if ($result->num_rows > 0) {
    echo "Welkom!";
} else {
    echo "Ongeldige login.";
}
?>

2. Test of de SQL Injection nu nog werkt. Leg uit waarom het niet meer lukt.

🧠 Reflectie

• Waarom is SQL-injection zo gevaarlijk voor een website?
• Wat had de originele programmeur moeten doen om dit te voorkomen?
• Gebruik je op je eigen sites al veilige manieren om met invoer om te gaan?

📤 Inleveren

• Maak twee screenshots:
  • Eén van je geslaagde SQL-injection
  • Eén van je beveiligde code in actie (met foutmelding bij ongeldige login)
• Lever ook een korte toelichting en je reflectie in als .pdf of .txt
• Bestandsnamen:
  • sqlinjectie-.jpg
  • sqlinjectie-reflectie-.pdf

6 Cross-Site Scripting (XSS)

🎯 Leerdoelen

• Je weet wat Cross-Site Scripting (XSS) is en hoe het werkt.
• Je kunt zelf een XSS-aanval uitvoeren in een onveilige webpagina.
• Je kunt uitleggen hoe je je website kunt beschermen tegen XSS.

💡 Uitleg

Wat is XSS?

Cross-Site Scripting (XSS) is een aanval waarbij een aanvaller kwaadaardige scripts (zoals JavaScript) invoert in een formulier of URL. Deze scripts worden dan uitgevoerd in de browser van een andere bezoeker.

Stel: je maakt een gastenboek waar mensen een berichtje kunnen achterlaten. Als je hun invoer niet goed filtert, kan iemand dit invoeren:

<script>alert('Ik ben gehackt!')</script>

Iedereen die daarna het gastenboek bezoekt, krijgt dan deze melding te zien – het script wordt uitgevoerd alsof het van jouw site komt.

🛠️ Opdracht – Voer een XSS-aanval uit

1. Maak een PHP-bestand gastenboek.php met het volgende formulier en afhandelingscode:

<form method="post">
  Naam: <input name="naam"><br>
  Bericht: <textarea name="bericht"></textarea><br>
  <input type="submit" value="Verstuur">
</form>

<?php
if ($_POST) {
  echo "<h3>Bericht ontvangen:</h3>";
  echo "<p>Van: " . $_POST['naam'] . "</p>";
  echo "<p>" . $_POST['bericht'] . "</p>";
}
?>

2. Voer nu als bericht het volgende in:

   <script>alert('XSS test')</script>

3. Wat gebeurt er?

🛠️ Vervolgopdracht – Beveilig je formulier

1. Pas de PHP-code aan zodat gebruikersinvoer wordt ge-escaped:

echo "<p>Van: " . htmlspecialchars($_POST['naam']) . "</p>";
echo "<p>" . htmlspecialchars($_POST['bericht']) . "</p>";

2. Voer nogmaals het script in. Wat gebeurt er nu?

🧠 Reflectie

• Wat maakt XSS zo gevaarlijk voor je bezoekers?
• Wat is het verschil tussen htmlspecialchars() en strip_tags() in PHP?
• Hoe zou jij in een groter project XSS voorkomen?

📤 Inleveren

• Screenshot van de popup bij onveilige invoer
• Screenshot van veilige invoer na beveiliging
• Toelichting op je reflectie
• Bestandsnamen:
  • xss-aanval-.jpg
  • xss-veilige-versie-.jpg
  • xss-reflectie-.pdf

7 Social Engineering en Phishing

🎯 Leerdoelen

• Je weet wat social engineering is en hoe phishing werkt.
• Je kunt een phishingpoging herkennen.
• Je weet hoe je jezelf en je gebruikers kunt beschermen tegen social engineering-aanvallen.

💡 Uitleg

Wat is social engineering?

Social engineering is het manipuleren van mensen om gevoelige informatie prijs te geven of acties uit te voeren die de beveiliging schaden. Voorbeelden:

• Iemand belt je zogenaamd namens IT en vraagt om je wachtwoord.
• Een mailtje zegt dat je “direct moet inloggen” om je account te redden.

Wat is phishing?

Phishing is een vorm van social engineering waarbij iemand zich voordoet als een betrouwbare partij (zoals je bank, school of DigiD) om je inloggegevens of andere data te stelen.

Meestal gebeurt dit via e-mail of nepsites die lijken op de echte.

🛠️ Opdracht – Herken phishing

1. Bekijk 3 voorbeelden van phishingmails of nepsites. Gebruik bijv. de site fraudehelpdesk.nl.
2. Beantwoord de volgende vragen:
   • Wat valt je op aan de mail of site?
   • Wat klopt er niet?
   • Wat zou jij doen als je deze mail ontvangt?

🛠️ Opdracht – Bouw een (veilige) nep-loginpagina

Maak een HTML-pagina met de opmaak van een bekende site (bv. Instagram, Facebook of je school), maar sla de invoer lokaal op of toon het resultaat in het scherm. Je gebruikt dit puur om de aanvalstechniek te begrijpen – NIET om iemand mee te misleiden!

<form method="post">
  Gebruikersnaam: <input name="username"><br>
  Wachtwoord: <input type="password" name="password"><br>
  <input type="submit" value="Login">
</form>

<?php
if ($_POST) {
  echo "<p>Opgevangen gegevens:</p>";
  echo "Gebruiker: " . $_POST['username'] . "<br>";
  echo "Wachtwoord: " . $_POST['password'];
}
?>

2. Maak je site herkenbaar door een waarschuwing toe te voegen dat het een oefening is.

🧠 Reflectie

• Waarom werken phishingaanvallen zo goed, denk je?
• Wat zou jij doen als je twijfelt aan een mail of site?
• Hoe zou je jouw ouders of opa/oma uitleggen hoe ze phishing kunnen herkennen?

📤 Inleveren

• Een kort verslag van je analyse van 3 phishingvoorbeelden
• Een screenshot van je lokale oefen-phishingsite met zichtbaar ingevulde gegevens
• Reflectie op hoe je social engineering in het dagelijks leven herkent
• Bestandsnamen:
  • phishing-analyse-.pdf
  • phishingsite-.jpg
  • phishing-reflectie-.pdf

8 Brute Force-aanvallen en Loginbeveiliging

🎯 Leerdoelen

• Je weet wat een brute force-aanval is.
• Je kunt een eenvoudige loginpagina maken in PHP.
• Je begrijpt hoe je zo'n loginpagina kunt beveiligen tegen brute force-aanvallen.

💡 Uitleg

Wat is een brute force-aanval?

Bij een brute force-aanval probeert een aanvaller heel veel verschillende wachtwoorden achter elkaar uit om zo toegang te krijgen tot een account. Als er geen beperking zit op het aantal pogingen, kan dit op den duur succes hebben.

Hoe bescherm je hiertegen?

Je kunt brute force-aanvallen voorkomen door bijvoorbeeld:

• Een limiet te stellen op het aantal pogingen
• Tijdelijk een gebruiker of IP-adres te blokkeren
• Captcha toe te voegen
• Logging bij te houden van mislukte pogingen

🛠️ Opdracht – Maak een eenvoudige loginpagina

Maak een bestand login.php met het volgende formulier:

<form method="post">
  Gebruikersnaam: <input name="username"><br>
  Wachtwoord: <input type="password" name="password"><br>
  <input type="submit" value="Login">
</form>

Maak daarna een eenvoudige inlogcontrole in PHP:

<?php
session_start();

$gebruikersnaam = "admin";
$wachtwoord = "geheim";

if (!isset($_SESSION['pogingen'])) {
  $_SESSION['pogingen'] = 0;
}

if ($_SESSION['pogingen'] >= 3) {
  die("Te veel pogingen. Probeer het later opnieuw.");
}

if ($_POST) {
  if ($_POST['username'] === $gebruikersnaam && $_POST['password'] === $wachtwoord) {
    echo "Welkom!";
    $_SESSION['pogingen'] = 0;
  } else {
    echo "Foutieve inlog.";
    $_SESSION['pogingen']++;
  }
}
?>

🛠️ Vervolgopdracht – Extra beveiliging

• Voeg een vertraging toe met sleep(1) bij een mislukte poging.
• Voeg logging toe aan een tekstbestand zodat je pogingen kunt terugzien.

🧠 Reflectie

• Waarom is het belangrijk om een limiet te stellen op het aantal inlogpogingen?
• Wat gebeurt er als je de sessiegegevens wist of in een andere browser werkt?
• Welke nadelen heeft deze eenvoudige beveiliging?

📤 Inleveren

• Screenshot van de loginpagina
• Code van jouw login.php
• Reflectie met antwoorden op bovenstaande vragen
• Bestandsnamen:
  • loginpagina-<jouw-naam>.jpg
  • login-php-<jouw-naam>.txt
  • login-reflectie-<jouw-naam>.pdf

9 Firewalls en automatische back-ups

🎯 Leerdoelen

• Je weet wat een firewall is en waarvoor die dient.
• Je kunt uitleggen waarom back-ups belangrijk zijn.
• Je leert hoe je automatische back-ups instelt op een WordPress-site.

💡 Uitleg

Wat is een firewall?

Een firewall is een digitale poortwachter. Het controleert het verkeer tussen jouw computer (of server) en het internet, en houdt verdachte of gevaarlijke verbindingen tegen.

Firewalls beschermen tegen:

• Ongewenste toegang tot je server of computer
• Kwaadaardige software
• Netwerkaanvallen

Er zijn software-firewalls (zoals die in Windows of macOS) en hardware-firewalls (in routers of servers).

Wat zijn back-ups en waarom zijn ze belangrijk?

Een back-up is een kopie van je website of bestanden, die je kunt terugzetten als er iets misgaat. Redenen om back-ups te maken:

• Harde schijf crasht
• Website wordt gehackt
• Per ongeluk bestanden verwijderd
• Update maakt iets stuk

Met automatische back-ups voorkom je dat je dit handmatig moet doen.

🛠️ Opdracht 1 – Installeer een firewall-plugin

1. Log in op je WordPress-dashboard.
2. Ga naar Plugins > Nieuwe plugin.
3. Zoek op Wordfence Security (of een andere populaire firewall plugin).
4. Installeer en activeer de plugin.
5. Bekijk wat de plugin doet en of je al meldingen krijgt van verdachte activiteiten.

🛠️ Opdracht 2 – Stel automatische back-ups in

1. Ga naar Plugins > Nieuwe plugin.
2. Zoek op UpdraftPlus (of een vergelijkbare plugin).
3. Installeer en activeer de plugin.
4. Ga naar het menu van de plugin en stel in dat er:
   • Wekelijks een back-up wordt gemaakt
   • Zowel bestanden als database worden opgeslagen
   • De back-up lokaal of op Google Drive wordt opgeslagen
5. Maak handmatig de eerste back-up en bekijk het resultaat.

🧠 Reflectie

• Wat zou er kunnen gebeuren als je site geen firewall heeft?
• Hoe vaak denk jij dat je back-ups zou moeten maken?
• Heb je nu meer vertrouwen in je site als er iets misgaat?

📤 Inleveren

• Screenshot van de firewall-plugin instellingen
• Screenshot van de automatische back-up-instellingen of overzicht
• Reflectie met antwoorden op bovenstaande vragen
• Bestandsnamen:
  • firewall-plugin-<jouw-naam>.jpg
  • backup-instellingen-<jouw-naam>.jpg
  • firewall-backup-reflectie-<jouw-naam>.pdf

10 Encryptie – een geheime boodschap kraken

🎯 Leerdoelen

• Je begrijpt wat encryptie is.
• Je weet waarom encryptie belangrijk is in de digitale wereld.
• Je leert een versleutelde boodschap herkennen en ontcijferen.

💡 Uitleg

Wat is encryptie?

Encryptie is het versleutelen van een boodschap zodat alleen iemand met de juiste sleutel de boodschap kan lezen.

Een eenvoudige vorm is de Caesarversleuteling. Daarbij wordt elke letter vervangen door een andere letter, bijvoorbeeld 3 letters verder in het alfabet:

Hallo wordt met sleutel 3 → Kdoor

Waarom is encryptie belangrijk?

Encryptie beschermt je gegevens bij bijvoorbeeld:

• Het versturen van e-mails
• Bankieren op het internet
• Inloggen op websites

🛠️ Opdracht – Kraak de geheime boodschap

Je hebt een versleutelde boodschap ontvangen die met een Caesarversleuteling is gecodeerd:

Khoor vwxghqw, jrhgh jhzhogljgh lq f\ehu vhfxulwb!

Probeer de originele boodschap te achterhalen. De boodschap is versleuteld met een vaste verschuiving. Je mag pen en papier gebruiken of een online Caesar-decoder zoals:

• https://cryptii.com/pipes/caesar-cipher

🛠️ Vervolgopdracht – Maak zelf een versleuteling

Gebruik dezelfde methode (Caesarversleuteling) om zelf een geheime boodschap te maken. Geef de versleutelde versie aan een klasgenoot, zonder de sleutel. Kan jouw klasgenoot hem kraken?

🧠 Reflectie

• Hoe moeilijk was het om de versleuteling te kraken?
• Wat gebeurt er als iemand de sleutel niet weet?
• Denk je dat deze versleuteling veilig genoeg is voor gevoelige informatie?

📤 Inleveren

• Screenshot van jouw gekraakte boodschap + de originele tekst
• Een zelfgemaakte geheime boodschap (versleuteld) + sleutel
• Reflectie met antwoorden op de vragen
• Bestandsnamen:
  • geheimbericht-kraken-<jouw-naam>.jpg
  • mijn-encryptie-<jouw-naam>.txt
  • encryptie-reflectie-<jouw-naam>.pdf

11 Hashing en wachtwoorden

🎯 Leerdoelen

• Je weet wat hashing is.
• Je begrijpt waarom wachtwoorden niet in gewone tekst opgeslagen mogen worden.
• Je leert hoe je met PHP een wachtwoord kunt hashen en controleren.

💡 Uitleg

Wat is hashing?

Hashing is een manier om een stukje informatie (zoals een wachtwoord) om te zetten in een unieke, vaste code. Deze code kan niet zomaar worden terugvertaald naar het origineel.

Bijvoorbeeld: wachtwoord wordt met een hashfunctie iets als:

5f4dcc3b5aa765d61d8327deb882cf99

Een goede hashfunctie zorgt ervoor dat het onmogelijk is om de originele tekst terug te vinden uit de hash.

Waarom is dat belangrijk?

Als iemand je database steelt waarin de wachtwoorden in gewone tekst staan, kunnen ze overal inloggen. Als ze gehasht zijn, is dat veel moeilijker.

Wat doet PHP?

In PHP gebruik je password_hash() om een wachtwoord te versleutelen, en password_verify() om te controleren of een ingevoerd wachtwoord klopt.

🛠️ Opdracht – Probeer het zelf

1. Maak een nieuw PHP-bestand aan: hash-test.php.
2. Voeg de volgende code toe en bekijk het resultaat in de browser:

<?php
$wachtwoord = \"supergeheim\";

$hash = password_hash($wachtwoord, PASSWORD_DEFAULT);
echo \"De hash is: \" . $hash;

$ingevoerd = \"supergeheim\";

if (password_verify($ingevoerd, $hash)) {
    echo \"<br>Wachtwoord klopt!\";
} else {
    echo \"<br>Wachtwoord klopt NIET!\";
}
?>

3. Verander het ingevoerde wachtwoord in iets anders en bekijk opnieuw het resultaat.

🧠 Reflectie

• Wat gebeurt er als je twee keer password_hash() uitvoert op hetzelfde wachtwoord?
• Waarom is dat eigenlijk goed?
• Wat zou er gebeuren als je wachtwoorden als gewone tekst opslaat in de database?

📤 Inleveren

• Screenshot van het resultaat in je browser (2x: goed en fout wachtwoord)
• Reflectievragen in een apart bestand
• Bestandsnamen:
  • hash-test-uitkomst-<jouw-naam>.jpg
  • hashing-reflectie-<jouw-naam>.pdf