Zwangslogout zwecks Einführung eines Sicherheitsfeatures

Leider passiert es immer häufiger, dass genutzte Logindaten auf einschlägigen Webseiten zu finden sind. Dadurch entsteht häufig nicht nur den betroffenen Benutzern selbst ein großer Schaden. Sehr oft sind auch die Webseiten betroffen, von denen die Logindaten stammen. Haben die betroffenen Benutzer dort z.B. erhöhte Berechtigungen, kann dies sehr große und weitreichende Auswirkungen haben.

Wir haben ein Sicherheitsfeature eingebaut, welches ein eingegebenes Passwort überprüft. Hier wird bei jedem Login und bei jeder Benutzer-Registrierung ein SHA1-Hash des eingegebenen Kennworts generiert. Die ersten 5 (von 40) Stellen dieses SHA1-Hashes werden an den Online-Dienst Have I Been Pwned übermittelt. Zurück kommt eine Liste mit allen SHA1-Hashes, die mit diesen 5 Stellen beginnen. In dieser Liste, die ausschließlich auf dem eigenen Server verarbeitet wird, werden dann die restlichen 35 Stellen des zuvor generierten SHA1-Hashes gesucht. Im Falle eines Funds wird eine entsprechende Warnung zurückgegeben.

Diese Warnung dient nur dem Benutzer selbst. Eine Speicherung dieses Status findet nicht statt und kann administrativ auch nicht eingesehen werden. Hier sollte vom Benutzer reagiert und das Passwort bei nächster Gelegenheit geändert werden!

Ein weiteres Sicherheitsfeature zeigt ab sofort sowohl bei einer Neuregistrierung als auch bei einer Änderung des Passwortes einen Indikator an, der die Sicherheitsstufe eines eingegebenen Passwortes angibt.

Es gibt nun auch die Möglichkeit, sich ein sicheres Passwort generieren zu lassen.

Allerdings ist darauf zu achten, dieses generierte Passwort zu speichern.

Wir hoffen, euch mit diesen Sicherheitsfeatures das Leben mit CompiWare sicherer zu machen und euch eine Sorge in dieser Hinsicht abnehmen zu können.