HaveIBeenPwned: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Nextcloud will check passwords against database of HaveIBeenPwned ==
Have i been pwned
[[File:haveibeenpwned.png|thumb]]
Users tend to use the same passwords in multiple locations, which poses a significant risk in case passwords are stolen. Last Thursday, Security researcher Troy Hunt, known from his site HaveIBeenPwned, expanded his existing dataset of 306 million leaked passwords with another 200 million, bringing the total to half a billion. Organizations can use this list to check passwords against, ensuring their users don’t pick a password that is known and thus likely to be tried by hackers when trying to break into a system.


== haveibeenpwned.com ==
Benutzer verwenden oft dieselben Passwörter an mehreren Orten
* Erhebliches Risiko, falls Passwörter gestohlen werden


Der Sicherheitsforscher Troy Hunt hat seinen bestehenden Datensatz von 306 Millionen durchgesickerten Passwörtern um weitere 200 Millionen erweitert, sodass sich die Gesamtzahl auf eine halbe Milliarde beläuft.
[[Datei:haveibeenpwned.png|thumb]]
== Passwörter gegen HaveIBeenPwned prüfen==
Unternehmen können diese Liste zur Überprüfung von Passwörtern verwenden, um sicherzustellen, dass ihre Benutzer kein Passwort wählen, das bekannt ist und somit wahrscheinlich von Hackern verwendet wird, wenn sie versuchen, in ein System einzubrechen.


=== Pwned Passwords ===
=== Pwned Passwords ===
[[File:haveibeenpwnedPwd.png|thumb|online check against haveIBeenPwned database]]
[[Datei:haveibeenpwnedPwd.png|thumb|online check against haveIBeenPwned database]]
His collection of passwords, named [https://haveibeenpwned.com/Passwords Pwned Passwords], uses SHA1 hashes of the passwords to allow checks against it. It also offers a counter to show how often a password is used in the database, with ''abc123'' having a count of 2.5 million according to a [https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/ blog by Hunt.]


In this blog, Hunt also explains as he gathered the 8,8GB worth of passwords from a series of public leaks, and he warns strongly against using passwords part of his collection. He made them available to be collectively downloaded via a torrent, and on his website he offers an API which can be used to check passwords against. It is a common practice of both attackers and defenders in computing security to built lists of commonly passwords which are in turn used in so called [https://en.wikipedia.org/wiki/Rainbow_table Rainbow Tables] which are used to recover username/password combinations from encrypted, stolen databases. Or, like in this case, to ensure users don’t use previously breached passwords.
Die Sammlung von Passwörtern mit dem Namen [https://haveibeenpwned.com/Passwords Pwned Passwords] verwendet SHA1-Hashes der Passwörter, um einen Abgleich zu ermöglichen.
* Sie bietet auch einen Zähler, der anzeigt, wie oft ein Passwort in der Datenbank verwendet wird, wobei "abc123" laut einem [https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/ Blog von Hunt] 2,5 Millionen Mal verwendet wurde.


=== Password security in Nextcloud ===
In diesem Blog erklärt Hunt auch, wie er die 8,8 GB an Passwörtern aus einer Reihe von öffentlichen Lecks zusammengetragen hat, und er warnt eindringlich davor, Passwörter aus seiner Sammlung zu verwenden.
Currently, Nextcloud allows administrators to enforce a NIST compliant password quality, which includes a check for commonly used passwords like ''‘test’'' and ''‘abcabc''. The limitations are checked when a user chooses a new password, or when the admin creates a new user with password. The [https://github.com/nextcloud/password_policy/pull/60 new test against the HaveIBeenPwned database] queries its database through their public API, giving a warning if the password has been breached.
* Er hat sie zum kollektiven Download über einen Torrent zur Verfügung gestellt, und auf seiner Website bietet er eine API an, mit der Passwörter überprüft werden können.  
* Es ist eine gängige Praxis sowohl von Angreifern als auch von Verteidigern im Bereich der Computersicherheit, Listen mit gängigen Passwörtern zu erstellen, die wiederum in sogenannten [https://en.wikipedia.org/wiki/Rainbow_table Rainbow Tables] verwendet werden, die dazu dienen, Benutzernamen/Passwort-Kombinationen aus verschlüsselten, gestohlenen Datenbanken wiederherzustellen.
* Oder, wie in diesem Fall, um sicherzustellen, dass die Benutzer keine zuvor geknackten Passwörter verwenden.


As shipping a 8.8 gb password database alongside Nextcloud would probably make the download a little to big for most users. By sending a partial hash (the first five characters), we avoid any increased risk of leaking the password as, even if intercepted, those first 5 characters of a long hash aren’t very to helpful crack the full password. Besides, the attacker wouldn’t know the user name. The administrator can enable or disable this feature – we still have to determine if we’ll enable it by default but likely not.
=== Passwortsicherheit in Nextcloud ===
[[File:nextcloudPasswordPolicy.png| thumb | Password Policy settings in Nextcloud]]
Nextcloud erlaubt Administratoren, eine NIST-konforme Passwortqualität zu erzwingen
* u.a. eine Prüfung für häufig verwendete Passwörter wie '''test''' und '''abcabc'''
* Diese Einschränkungen werden überprüft, wenn ein Benutzer ein neues Passwort wählt oder wenn der Administrator einen neuen Benutzer mit Passwort anlegt.  
*Der Administrator kann diese Funktion aktivieren oder deaktivieren


[[File:nextcloudPasswordPolicy.png| thumb | Password Policy settings in Nextcloud]]
Der [https://github.com/nextcloud/password_policy/pull/60 new test against the HaveIBeenPwned database] fragt seine Datenbank über deren öffentliche API ab und gibt eine Warnung aus, wenn das Passwort verletzt wurde, da die Auslieferung einer 8,8 gb großen Passwortdatenbank zusammen mit Nextcloud für die meisten Benutzer wahrscheinlich etwas zu groß wäre.
* Indem wir einen Teil-Hash (die ersten fünf Zeichen) senden, vermeiden wir ein erhöhtes Risiko, dass das Passwort durchsickert, denn selbst wenn es abgefangen wird, sind diese ersten 5 Zeichen eines langen Hashes nicht sehr hilfreich, um das vollständige Passwort zu knacken.
* Außerdem würde der Angreifer den Benutzernamen nicht kennen.


This improvement helps make passwords more secure, avoiding the use of known breached passwords and adding to our brute-force protection, two-factor authentication and existing password quality checks to ensure strong account protection.
Diese Verbesserung trägt dazu bei, die Passwörter sicherer zu machen
* indem sie die Verwendung von Passwörtern, die bereits bekannt sind, vermeidet


The [https://github.com/nextcloud/password_policy/pull/60 new check] will be part of Nextcloud 14 and might also be backported to Nextcloud 13 in one of the upcoming patch releases. While this technically qualifies as a new feature (and backporting features always comes at a risk), password security is very central to keeping data under control and thus worthy of some extra testing effort. We still recommend to use the built in two-factor authentication to provide additional protection against stolen passwords!
=== Weitere Sicherheitsmaßnahmen ===
Um einen starken Schutz der Konten zu gewährleisten
* Brute-Force-Schutz
* Zwei-Faktor-Authentifizierung
* Qualitätsprüfungen für Passwörter


'''Update:''' the code has been reviewed and merged and will be backported to 13.0.1. It will be disabled by default.
[[Kategorie:Passwort]]
[[Kategorie:Nextcloud/Sicherheit]]

Aktuelle Version vom 14. Februar 2024, 00:27 Uhr

Have i been pwned

haveibeenpwned.com

Benutzer verwenden oft dieselben Passwörter an mehreren Orten

  • Erhebliches Risiko, falls Passwörter gestohlen werden

Der Sicherheitsforscher Troy Hunt hat seinen bestehenden Datensatz von 306 Millionen durchgesickerten Passwörtern um weitere 200 Millionen erweitert, sodass sich die Gesamtzahl auf eine halbe Milliarde beläuft.

Passwörter gegen HaveIBeenPwned prüfen

Unternehmen können diese Liste zur Überprüfung von Passwörtern verwenden, um sicherzustellen, dass ihre Benutzer kein Passwort wählen, das bekannt ist und somit wahrscheinlich von Hackern verwendet wird, wenn sie versuchen, in ein System einzubrechen.

Pwned Passwords

online check against haveIBeenPwned database

Die Sammlung von Passwörtern mit dem Namen Pwned Passwords verwendet SHA1-Hashes der Passwörter, um einen Abgleich zu ermöglichen.

  • Sie bietet auch einen Zähler, der anzeigt, wie oft ein Passwort in der Datenbank verwendet wird, wobei "abc123" laut einem Blog von Hunt 2,5 Millionen Mal verwendet wurde.

In diesem Blog erklärt Hunt auch, wie er die 8,8 GB an Passwörtern aus einer Reihe von öffentlichen Lecks zusammengetragen hat, und er warnt eindringlich davor, Passwörter aus seiner Sammlung zu verwenden.

  • Er hat sie zum kollektiven Download über einen Torrent zur Verfügung gestellt, und auf seiner Website bietet er eine API an, mit der Passwörter überprüft werden können.
  • Es ist eine gängige Praxis sowohl von Angreifern als auch von Verteidigern im Bereich der Computersicherheit, Listen mit gängigen Passwörtern zu erstellen, die wiederum in sogenannten Rainbow Tables verwendet werden, die dazu dienen, Benutzernamen/Passwort-Kombinationen aus verschlüsselten, gestohlenen Datenbanken wiederherzustellen.
  • Oder, wie in diesem Fall, um sicherzustellen, dass die Benutzer keine zuvor geknackten Passwörter verwenden.

Passwortsicherheit in Nextcloud

Password Policy settings in Nextcloud

Nextcloud erlaubt Administratoren, eine NIST-konforme Passwortqualität zu erzwingen

  • u.a. eine Prüfung für häufig verwendete Passwörter wie test und abcabc
  • Diese Einschränkungen werden überprüft, wenn ein Benutzer ein neues Passwort wählt oder wenn der Administrator einen neuen Benutzer mit Passwort anlegt.
  • Der Administrator kann diese Funktion aktivieren oder deaktivieren

Der new test against the HaveIBeenPwned database fragt seine Datenbank über deren öffentliche API ab und gibt eine Warnung aus, wenn das Passwort verletzt wurde, da die Auslieferung einer 8,8 gb großen Passwortdatenbank zusammen mit Nextcloud für die meisten Benutzer wahrscheinlich etwas zu groß wäre.

  • Indem wir einen Teil-Hash (die ersten fünf Zeichen) senden, vermeiden wir ein erhöhtes Risiko, dass das Passwort durchsickert, denn selbst wenn es abgefangen wird, sind diese ersten 5 Zeichen eines langen Hashes nicht sehr hilfreich, um das vollständige Passwort zu knacken.
  • Außerdem würde der Angreifer den Benutzernamen nicht kennen.

Diese Verbesserung trägt dazu bei, die Passwörter sicherer zu machen

  • indem sie die Verwendung von Passwörtern, die bereits bekannt sind, vermeidet

Weitere Sicherheitsmaßnahmen

Um einen starken Schutz der Konten zu gewährleisten

  • Brute-Force-Schutz
  • Zwei-Faktor-Authentifizierung
  • Qualitätsprüfungen für Passwörter