The thread was 303 called and contains 3 replays

last post from Nerre at the

Vorübergehende Validierung beim Login auf Visia.at

  • Aus angegebenen Anlass in der Woltlab-Szene (Dezember 2019 / Attacke im März 2020) habe ich zusätzliche Vorkehrungen getroffen, weiteres siehe unten. Es wurden einige namhaften Seiten gehackt. Wie dieser Schadcode ins System gelangt ist, ist bisher unklar und wird ebenfalls durch die Staatsanwaltschaft überprüft. Fakt ist das es keine sicherheitsrelevanten Bedenken in der Software gab und gibt und es wurde bereits vor Wochen ein zusätzliches Update herausgegeben, welches ich bereits implementiert habe (interne Vorprüfung bei Installationen auf Backdoors). Nach Prüfung war Visia.at nicht betroffen!


    Zusätzlich wurde die 2-Faktor Authentisierung hinzugefügt. Diese habe ich jedoch (noch) nicht zur Pflicht beim Login gemacht. Es ist jedoch ratsam diesen Dienst zur eigenen Sicherheit zu verwenden! Einige Webseiten haben dies bereits zur Pflicht gemacht. Ich empfehle dazu die App "Google Authenticator". Vielleicht ist es bereits jemanden aufgefallen beim surfen im Netz.

    Was macht das Plugin?

    Kurz gesagt: Prüft mit Hilfe von HaveIBeenPwned auf gestohlene Kennwörter während der Validierung derselben und warnt den Nutzer, sollte sein Kennwort in einer öffentlichen Passwort-Liste enthalten sein.


    Unsichere Kennwörter sind ein großes Problem und werden auch immer eins bleiben. Doch wesentlich schlimmer sind Kennwörter, die aufgrund von Hacks (meistens in Kombination mit der E-Mail-Adresse) an die Öffentlichkeit gelangen. Ebenso werden gerne dieselben Kennwörter auf mehreren Webseiten benutzt. Oft kann man in so einem Fall darauf vertrauen, dass die Kennwörter bei den betroffenen Webseiten verschlüsselt gespeichert sind, doch selbst die beste Verschlüsselung schützt nicht zwangsläufig davor, dass das Kennwort z.B. durch sogenannte Bruteforce-Attacken doch irgendwann im Klartext veröffentlicht wird. Und es geht noch schlimmer: Oftmals erfährt man gar nichts von derartigen Vorfällen und wird irgendwann (z.B. in Form einer Spam-Email) vor vollendete Tatsachen gestellt.


    Im Zuge dessen habe ich ein Plugin installiert, welches allen Nutzern dabei helfen soll, sowohl schwache- als auch durch Hacker-Angriffe veröffentliche Kennwörter zu erkennen und Betroffene darauf aufmerksam zu machen mit der Bitte, ein anderes Kennwort zu wählen bzw. das bereits verwendete Kennwort zu ändern. Ebenso wird bereits seit geraumer Zeit eine Grafik je nach Stärke des Passworts angezeigt.


    Dazu generiert das Plugin beispielsweise bei jedem Login und bei jeder Benutzer-Registrierung einen SHA1-Hash des eingegebenen Kennworts und übermittelt die ersten 5 (von 40) Stellen dieses SHA1-Hashes an den Online-Dienst Have I Been Pwned bzw. Pwned Passwords und erhält dann eine Liste mit allen SHA1-Hashes, die mit diesen 5 Stellen beginnen. In dieser Liste, die ausschließlich auf dem eigenen Server verarbeitet wird, sucht das Plugin dann die restlichen 35 Stellen des zuvor generierten SHA1-Hashes und gibt im Falle eines Funds eine entsprechende Warnung zurück. Diese Warnung kann (sollte jedoch nicht) vom betreffenden Benutzer ignoriert werden. Einen Zwang, das Kennwort zu ändern, gibt es nicht. Dies dient lediglich zur Unterstützung für jeden.

    Zum Thema Datenschutz

    Selbstverständlich wird vollständig auf den Schutz der Daten geachtet. Es werden zu keinem Zeitpunkt personenbezogene Daten wie etwa Benutzername, E-Mail- oder das Kennwort übermittelt. Lediglich die ersten 5 Stellen des o.g. SHA1-Hashes werden an den Dienst Have I Been Pwned bzw. Pwned Passwords mit Sitz in den USA übermittelt. Diese 5 Stellen geben absolut keinen Aufschluss über das verwendete Kennwort und können auch nicht zur Reproduktion verwendet werden. Die Kommunikation findet zudem ausschließlich verschlüsselt statt. Es wird keine Datei auf dem Server gespeichert. Die Antwort der API wird on-the-fly auf dem eigenen Server verarbeitet, allerdings sofort verworfen.

    Kann ich sehen, wer ein unsicheres Kennwort verwendet?

    Nein. Diese Information wird ausschließlich dem betroffenen Nutzer selbst während der Kennwort-Validierung (z.B. im Verlauf des Logins oder in der Benutzer-Verwaltung) angezeigt. Eine Speicherung des Kennwort-Status beispielsweise findet nicht statt.

    Was passiert, wenn der externe Dienst mal nicht erreichbar ist?

    Ist der Dienst z.B. aufgrund von Wartungsarbeiten oder Verbindungsproblemen vorübergehend nicht erreichbar, gilt das eingegebene Kennwort mindestens bis zur nächsten Validierung (z.B. dem nächsten Login) als sicher. Eine Meldung erfolgt nicht.

    Wie sieht die Meldung aus, wenn betroffen?


    Dieses Plugin ist nur für eine bestimmte Zeit vorerst aktiv. Un-relevante Antworten werden umgehend gelöscht. Dies stellt lediglich ein Hinweis dar. Die Datenschutzerklärung aufgrund Nutzung des Dienstes wird momentan noch nicht öffentlich gemacht, da noch nicht permanent eingebunden. Ich bin in mehreren Foren tätig und verfolge das jetzt schon eine geraume Zeit und noch mehr auf unsichere Passwörter hinzuweisen ist mir fast schon nicht mehr möglich.

  • Finde ich auch gut, sowas ist schon seit 20 Jahren überfällig. Wir haben 2001 schon mit solchen Themen im Studium zu tun gehabt (Hashabgleichlisten, Datenbankaufbau und Accounts....). Würde mich freuen wenn die App nicht zum Zwang wird da mein Handy immer mal wieder sonstwo (Auto, Werkstatt in nem anderen Haus,..) oder leer ist und ich dann nicht auf die Seite könnte.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!