WSC 5.4, 5.5 & 6.0 Have I Been Pwned (HIBP)

Prüft mit Hilfe von HaveIBeenPwned auf gestohlene Kennwörter während der Validierung derselben und warnt den Nutzer, sollte sein Kennwort in einer öffentlichen Passwort-Liste enthalten sein.

Unsichere Kennwörter sind ein großes Problem und werden auch immer eins bleiben. Doch wesentlich schlimmer sind Kennwörter, die aufgrund von Hacks (meistens in Kombination mit der E-Mail-Adresse) an die Öffentlichkeit gelangen. Oft kann man in so einem Fall darauf vertrauen, dass die Kennwörter bei den betroffenen Webseiten verschlüsselt gespeichert sind, doch selbst die beste Verschlüsselung schützt nicht zwangsläufig davor, dass das Kennwort z.B. durch sogenannte Bruteforce-Attacken doch irgendwann im Klartext veröffentlicht wird. Und es geht noch schlimmer: Oftmals erfährt man gar nichts von derartigen Vorfällen und wird irgendwann (z.B. in Form einer Spam-Email) vor vollendete Tatsachen gestellt.

Die Erweiterung "Have I Been Pwned (HIBP)" soll Ihnen und Ihren Nutzern dabei helfen, sowohl schwache- als auch durch Hacker-Angriffe veröffentliche Kennwörter zu erkennen und Betroffene darauf aufmerksam zu machen mit der Bitte, ein anderes Kennwort zu wählen bzw. das bereits verwendete Kennwort zu ändern.

Dazu generiert die Erweiterung beispielsweise bei jedem Login und bei jeder Benutzer-Registrierung einen SHA1-Hash des eingegebenen Kennworts und übermittelt die ersten 5 (von 40) Stellen dieses SHA1-Hashes an den Online-Dienst Have I Been Pwned bzw. Pwned Passwords und erhält dann eine Liste mit allen SHA1-Hashes, die mit diesen 5 Stellen beginnen. In dieser Liste, die ausschließlich auf dem eigenen Server verarbeitet wird, sucht die Erweiterung dann die restlichen 35 Stellen des zuvor generierten SHA1-Hashes und gibt im Falle eines Funds eine entsprechende Warnung zurück. Diese Warnung kann (sollte jedoch nicht) vom betreffenden Benutzer ignoriert werden. Einen Zwang, das Kennwort zu ändern, gibt es nicht.

Datenschutz

Selbstverständlich haben wir bei der Umsetzung dieser Erweiterung vollständig auf den Schutz Ihrer Daten geachtet. Es werden zu keinem Zeitpunkt personenbezogene Daten wie etwa Benutzername, E-Mail- oder IP-Adresse oder das Kennwort übermittelt. Lediglich die ersten 5 Stellen des o.g. SHA1-Hashes werden an den Dienst Have I Been Pwned bzw. Pwned Passwords mit Sitz in den USA übermittelt. Diese 5 Stellen geben absolut keinen Aufschluss über das verwendete Kennwort und können auch nicht zur Reproduktion verwendet werden. Die Kommunikation findet zudem ausschließlich verschlüsselt statt.

Kann ich sehen, wer ein unsicheres Kennwort verwendet (z.B. um den Nutzer darauf hinzuweisen)?

Nein. Diese Information wird ausschließlich dem Nutzer selbst während der Kennwort-Validierung (z.B. im Verlauf des Logins oder in der Benutzer-Verwaltung) angezeigt. Eine Speicherung des Kennwort-Status beispielsweise findet nicht statt.

Was passiert, wenn der externe Dienst mal nicht erreichbar ist?

Ist der Dienst z.B. aufgrund von Wartungsarbeiten oder Verbindungsproblemen vorübergehend nicht erreichbar, gilt das eingegebene Kennwort mindestens bis zur nächsten Validierung (z.B. dem nächsten Login) als sicher. Eine Meldung erfolgt nicht.

Preis

  • Have I Been Pwned (HIBP)
    EUR 0,00

Der angegebene Preis ist ein Endpreis. Aufgrund des Kleinunternehmerstatus gemäß § 19 UStG erheben wir keine Umsatzsteuer und weisen diese folglich auch nicht aus.

Weitere Produkte

5 von 5 (2 Kundenrezensionen)
  • 5 Sterne (2)
  • 4 Sterne (0)
  • 3 Sterne (0)
  • 2 Sterne (0)
  • 1 Stern (0)
  • Have I Been Pwned (HIBP) 6.0.0

    Upgrade für WSC 6.0

  • Have I Been Pwned (HIBP) 5.4.1

    Bugfix
  • Have I Been Pwned (HIBP) 5.4.0

    - Version für WSC 5.3+ - Überprüfung während des Logins re-implementiert - Rebranding
  • Have I Been Pwned (HIBP) 5.3.0 pl 1