Zwangslogout zwecks Einführung eines Sicherheitsfeatures
-
PoooMukkel -
20. Mai 2020 um 10:51 -
1.197 Mal gelesen -
9 Antworten -
2 Minuten
Leider passiert es immer häufiger, dass genutzte Logindaten auf einschlägigen Webseiten zu finden sind. Dadurch entsteht häufig nicht nur den betroffenen Benutzern selbst ein großer Schaden. Sehr oft sind auch die Webseiten betroffen, von denen die Logindaten stammen. Haben die betroffenen Benutzer dort z.B. erhöhte Berechtigungen, kann dies sehr große und weitreichende Auswirkungen haben.
Wir haben ein Sicherheitsfeature eingebaut, welches ein eingegebenes Passwort überprüft. Hier wird bei jedem Login und bei jeder Benutzer-Registrierung ein SHA1-Hash des eingegebenen Kennworts generiert. Die ersten 5 (von 40) Stellen dieses SHA1-Hashes werden an den Online-Dienst Have I Been Pwned übermittelt. Zurück kommt eine Liste mit allen SHA1-Hashes, die mit diesen 5 Stellen beginnen. In dieser Liste, die ausschließlich auf dem eigenen Server verarbeitet wird, werden dann die restlichen 35 Stellen des zuvor generierten SHA1-Hashes gesucht. Im Falle eines Funds wird eine entsprechende Warnung zurückgegeben.
Diese Warnung dient nur dem Benutzer selbst. Eine Speicherung dieses Status findet nicht statt und kann administrativ auch nicht eingesehen werden. Hier sollte vom Benutzer reagiert und das Passwort bei nächster Gelegenheit geändert werden!
Informationen zum Datenschutz
Es werden zu keinem Zeitpunkt personenbezogene Daten wie etwa Benutzername, E-Mail- oder IP-Adresse oder das Kennwort übermittelt. Lediglich die ersten 5 Stellen des o.g. SHA1-Hashes werden an den Dienst "Have I Been Pwned" mit Sitz in den USA übermittelt. Diese 5 Stellen geben absolut keinen Aufschluss über das verwendete Kennwort und können auch nicht zur Reproduktion verwendet werden. Die Kommunikation findet zudem ausschließlich verschlüsselt statt.
Ein weiteres Sicherheitsfeature zeigt ab sofort sowohl bei einer Neuregistrierung als auch bei einer Änderung des Passwortes einen Indikator an, der die Sicherheitsstufe eines eingegebenen Passwortes angibt.
Es gibt nun auch die Möglichkeit, sich ein sicheres Passwort generieren zu lassen.
Allerdings ist darauf zu achten, dieses generierte Passwort zu speichern.
Wir hoffen, euch mit diesen Sicherheitsfeatures das Leben mit CompiWare sicherer zu machen und euch eine Sorge in dieser Hinsicht abnehmen zu können.
Antworten 9