Avatar

Neues (kostenfreies) Produkt: Have I Been Pwned (HIBP)

You may notice, that many sections are currently only available in german. We are working hard to provide a full translation of our website, but this might take some time. Thank you for understanding.
  • Unsichere Kennwörter sind ein großes Problem und werden auch immer eins bleiben. Doch wesentlich schlimmer sind Kennwörter, die aufgrund von Hacks (meistens in Kombination mit der E-Mail-Adresse) an die Öffentlichkeit gelangen. Oft kann man in so einem Fall darauf vertrauen, dass die Kennwörter bei den betroffenen Webseiten verschlüsselt gespeichert sind, doch selbst die beste Verschlüsselung schützt nicht zwangsläufig davor, dass das Kennwort z.B. durch sogenannte Bruteforce-Attacken doch irgendwann im Klartext veröffentlicht wird. Und es geht noch schlimmer: Oftmals erfährt man gar nichts von derartigen Vorfällen und wird irgendwann (z.B. in Form einer Spam-Email) vor vollendete Tatsachen gestellt.


    Die Erweiterung "Have I Been Pwned (HIBP)" soll Ihnen und Ihren Nutzern dabei helfen, sowohl schwache- als auch durch Hacker-Angriffe veröffentliche Kennwörter zu erkennen und Betroffene darauf aufmerksam zu machen mit der Bitte, ein anderes Kennwort zu wählen bzw. das bereits verwendete Kennwort zu ändern.


    Dazu generiert die Erweiterung beispielsweise bei jedem Login und bei jeder Benutzer-Registrierung einen SHA1-Hash des eingegebenen Kennworts und übermittelt die ersten 5 (von 40) Stellen dieses SHA1-Hashes an den Online-Dienst Have I Been Pwned bzw. Pwned Passwords und erhält dann eine Liste mit allen SHA1-Hashes, die mit diesen 5 Stellen beginnen. In dieser Liste, die ausschließlich auf dem eigenen Server verarbeitet wird, sucht die Erweiterung dann die restlichen 35 Stellen des zuvor generierten SHA1-Hashes und gibt im Falle eines Funds eine entsprechende Warnung zurück. Diese Warnung kann (sollte jedoch nicht) vom betreffenden Benutzer ignoriert werden. Einen Zwang, das Kennwort zu ändern, gibt es nicht.


    Datenschutz


    Selbstverständlich haben wir bei der Umsetzung dieser Erweiterung vollständig auf den Schutz Ihrer Daten geachtet. Es werden zu keinem Zeitpunkt personenbezogene Daten wie etwa Benutzername, E-Mail- oder IP-Adresse oder das Kennwort übermittelt. Lediglich die ersten 5 Stellen des o.g. SHA1-Hashes werden an den Dienst Have I Been Pwned bzw. Pwned Passwords mit Sitz in den USA übermittelt. Diese 5 Stellen geben absolut keinen Aufschluss über das verwendete Kennwort und können auch nicht zur Reproduktion verwendet werden. Die Kommunikation findet zudem ausschließlich verschlüsselt statt.


    Kann ich sehen, wer ein unsicheres Kennwort verwendet (z.B. um den Nutzer darauf hinzuweisen)?


    Nein. Diese Information wird ausschließlich dem Nutzer selbst während der Kennwort-Validierung (z.B. im Verlauf des Logins oder in der Benutzer-Verwaltung) angezeigt. Eine Speicherung des Kennwort-Status beispielsweise findet nicht statt.


    Was passiert, wenn der externe Dienst mal nicht erreichbar ist?


    Ist der Dienst z.B. aufgrund von Wartungsarbeiten oder Verbindungsproblemen vorübergehend nicht erreichbar, gilt das eingegebene Kennwort mindestens bis zur nächsten Validierung (z.B. dem nächsten Login) als sicher. Eine Meldung erfolgt nicht.


    Have I Been Pwned (HIBP)
    Download (Version 1.0.0) (Free)

    Have I Been Pwned (HIBP) WSC 3.0, 3.1 & 5.2

    Checks for leaked passwords using HaveIBeenPwned during password validation processes and informs the user if his password has been found in a public password list.


    Diese Erweiterung wird im Gegensatz zum Großteil unserer restlichen, kostenfreien Erweiterungen, auch im offiziellen Plugin-Store von WoltLab (nach erfolgter Prüfung) erscheinen.

  • Hallo,


    da wir leider keine Einigung mit WoltLab bezüglich des Funktionsumfangs der Erweiterung finden, wird selbige bis auf weiteres entgegen unserer Planung nicht im offiziellen Plugin-Store von WoltLab veröffentlicht.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!