Szenario 5: Authentifizierung anhand des Salted-Hash-Verfahrens

zurück zur Hauptseite des Unterrichtskonzeptes

Dem fünften Szenario des Unterrichtskonzeptes „Authentifizierung anhand des Salted-Hash-Verfahrens“ liegt eine Kombination aus theoretischen Inputs und Wiederholungen, praktischen Übungsaufgaben (nur Einzelarbeiten) und praxisnahen Bezügen zugrunde, mit denen die Funktionsweise von gesalzenen Authentifizierungsverfahren während eines Logins SchülerInnen näher gebracht wird. Zu Beginn sollen die SchülerInnen durch das Vorzeigen einer nachgestellten Cookie-Replay-Attacke sowie den dazugehörigen Vorträgen für korrekte Anmeldeauthentifizierungen sensibilisiert werden. Dabei sollen auch erneut Sessions, Cookies sowie Skripte wiederholt werden, bevor man sich dem eigentlichen Authentifizierungsskript (scr.auth.php) widmen kann. Zur Vertiefung werden die Verschlüsselungsmethoden des Blowfish-Algorithmus und des Salted-Hash-Verfahrens vorgestellt, um diese im Anschluss innerhalb des Authentifizierungs- und des Anmeldeskripts (scr.signin.php) verbauen zu können. Durch die Überprüfung der Salted-Hashwerte innerhalb von Lookup-Tables wird den SchülerInnen aufgezeigt, dass diese Form der Absicherung einen viel größeren Schutz bietet, da hier die Hashwerte nicht aufgefunden werden können.

Als theoretische Grundlage bzw. Voraussetzung kann für das Unterrichtsszenario 5 „Authentifizierung anhand des Salted-Hash-Verfahrens“ das Kapitel 2.3.4.4 „Salted-Hash- Cookies“, aus dem Teil der theoretischen Grundlagen dieser Diplomarbeit, herangezogen werden. Im Weiteren sind auch die Kapitel 2.3.4.3.2 „SHA1 En-/Decryption“ sowie 2.3.4.3.3 „BCrypt Blowfish Algorithmus“ von besonderer Bedeutung, da hier nochmals explizit auf die benötigten Verschlüsselungsmethoden wie BCrypt oder SHA1 sowie auf die korrekte Anwendung des Salted-Hash-Verfahrens eingegangen wird.

Einen Auszug dieser Kapitel aus der Diplomarbeit finden Sie in der Sektion Lehr- und Lernmaterialien dieser Seite.

In der folgenden Planungsmatrix wird der geplante Doppelstundenverlauf (2x 50min) des Szenarios 5 anhand der Themen und Inhalte, der Lehr- und Lernziele sowie der Lehr- und Lernorganisation aufgezeigt, welche sich schlussendlich in die zu verwendeten Methoden, Medien und Sozialformen aufgliedert.

Planungsmatrix für Szenario 5 als Download (.xlsx)
Planungsmatrix für Szenario 5 als Download (.pdf)

Für das Wahlpflichtfach Informatik wurden drei der insgesamt fünf Unterrichtsszenarien entwickelt, da sie eine Vertiefung in die Thematik darstellen sollen, erfahrenere Programmierfertigkeiten vorausgesetzt werden und sich somit ideal für alle 6. - 8. Klassen eignen. Der Lehrplanbezug für die Szenarien „Der Umstieg von HTML auf PHP“, „PHP Anmeldeskripts mit Base64 kodierten Cookies“ und „Authentifizierung anhand des Salted-Hash- Verfahrens“ wird mit folgenden Verweisen daraus abgedeckt:

• Datenbanken
• Konzepte von Programmiersprachen
• grundlegende Algorithmen und Datenstrukturen
• Informatik, Gesellschaft und Arbeitswelt
• Rechtsfragen

Um über die Kompetenzorientierung dieses Unterrichtsszenarios Aufschluss geben zu können, wurden die zu behandelnden Themen und Inhalte mit den digitalen Grundkompetenzen für das Wahlpflichtfach Informatik vom Digi.Komp des BMB verglichen und analysiert, wodurch sich die folgenden Schnittmengen ergaben:

• Bedeutung von Informatik in der Gesellschaft:
  • Die SchülerInnen können Wissen über Informatiksysteme im digitalen privaten und schulischen Umfeld zielgerichtet anwenden und nutzen.
  • Die SchülerInnen können den Einfluss von Informatiksystemen auf ihren Alltag, auf die Gesellschaft und Wirtschaft einschätzen und an konkreten Beispielen Vor- und Nachteile abwägen.
• Verantwortung, Datenschutz und Datensicherheit:
  • Die SchülerInnen können ihre Rechte und Pflichten in der Nutzung von Informatiksystemen beschreiben und wesentliche Aspekte des Datenschutzes und der Datensicherheit erklären.
  • Die SchülerInnen können für den Schutz und die Sicherheit von Informatiksystemen, mit denen sie arbeiten, sorgen.
  • Die SchülerInnen können ihre Verantwortung beim Einsatz von Informatiksystemen sowohl in der Quantität als auch in der Qualität reflektieren.
  • Die SchülerInnen können verschiedene Schutzmaßnahmen für Daten und IT- Systeme beurteilen und empfehlen.
  • Die SchülerInnen können die Rechtskonformität einer Website in Grundzügen bewerten.
• Technische Grundlagen und Funktionsweisen:
  • Die SchülerInnen können Komponenten von Informatiksystemen beschreiben und ihre Funktionsweise und ihr Zusammenwirken erklären.
  • Die SchülerInnen können grundlegende technische Konzepte von Informatiksystemen erklären.
• Netzwerke:
  • Die SchülerInnen können verschiedene Internetdienste nennen und ihre Einsatzmöglichkeiten und Funktionsweisen beschreiben und erklären.
  • Die SchülerInnen können verschiedene Internetdienste nutzen.
  • Die SchülerInnen können die Einsatzmöglichkeiten verschiedener Internetdienste bewerten.
• Konzepte der Informationsverarbeitung:
  • Die SchülerInnen können wesentliche informatische Konzepte und fundamentale Ideen der Informatik benennen und an Hand von Beispielen erklären.
  • Die SchülerInnen können bei der Lösung konkreter Aufgaben Heuristiken, Grundprinzipien und Konzepte der Informatik anwenden und informatische Modelle gestalten.
  • Die SchülerInnen können unterschiedliche Lösungsansätze in Bezug auf zugrundeliegende Konzepte reflektieren und in konkreten Handlungssituationen bewerten.
• Algorithmen, Datenstrukturen und Programmierung:
  • Die SchülerInnen können den Algorithmusbegriff erklären.
  • Die SchülerInnen können Aufgaben und Problemstellungen algorithmisch und formalsprachlich in geeigneten Datenstrukturen beschreiben.
  • Die SchülerInnen können wesentliche Aspekte der Prozeduralen, Funktionalen und Objektorientierten Programmierung nennen und an Beispielen erläutern.
  • Die SchülerInnen können Aufgaben mit Mitteln der Informatik modellieren.
  • Die SchülerInnen können Algorithmen entwerfen, diese formal darstellen, implementieren und testen.
  • Die SchülerInnen können die Schritte der Softwareentwicklung reflektieren. Die SchülerInnen können die Angemessenheit der Entwicklungswerkzeuge grob einschätzen.
  • Die SchülerInnen können die Effizienz von Algorithmen bewerten.
  • Die SchülerInnen können gezielt nach Programmfehlern suchen und diese korrigieren.
• Datenmodelle und Datenbanksysteme:
  • Die SchülerInnen können Daten strukturiert (in Tabellen) erfassen, abfragen, auswerten sowie Datenbanken modellieren und einfache automatisierte Datenbanklösungen entwickeln.
  • Die SchülerInnen können Datenmodelle hinsichtlich der Datentypen, Redundanz, Integrität und Relevanz bewerten.

In Bezug auf die Rückkopplung und (Selbst-)Reflexion können für das Unterrichtsszenario 5 „Authentifizierung anhand des Salted-Hash-Verfahrens“ die folgenden Faktoren zur Überprüfung herangezogen werden:

• Ergebnisse der Wiederholungen
• Reaktionen der SchülerInnen
• Mitarbeit der SchülerInnen sowie zahlreich aufkommende Fragen
• Selbstreflexion der SchülerInnen

Auszug der Theorie für Szenario 5 als Download (.pdf)
Anhang G "Sign in“ Skript (scr.signin.php)
Anhang H "Authentication“ Skript (scr.auth.php)

Für das fünfte Unterrichtsszenario benötigt man, neben der vorhin bereits erwähnten Theorie sowie den notwendigen Internetquellen, die Codeauszüge der zu erstellenden PHP-Skripte (scr.auth.php & scr.signin.php), um den SchülerInnen den Funktionsumfang sowie die einzelnen Programmierschritte vorab erklären zu können. Durch die abschließende Eingabe diverser Salted-Hashwerte bei http://webnet77.net/cgi-bin/helpers/blowfish.pl (siehe Abbildung) oder ähnlichen Decodern wird aufgezeigt, dass die entsprechenden dekodierten Werte nicht mit dem Ursprungsdatensatz übereinstimmen.

Weitere Unterrichtsmaterialien stellen beispielsweise Anhang G „Sign in Skript (scr.signin.php)“ sowie Anhang H „Authentication Skript (scr.auth.php)“ dar, welche am Ende der Diplomarbeit bzw. in der Sektion Lehr- und Lernmaterialien gefunden werden können.

• ZURÜCK: Szenario 4: PHP Anmeldeskripts mit Base64 kodierten Cookies