HaveIBeenPwned: Unterschied zwischen den Versionen

Version vom 22. November 2022, 22:12 Uhr

Nextcloud prüft Passwörter gegen die Datenbank von HaveIBeenPwned

Benutzer neigen dazu, dieselben Passwörter an mehreren Orten zu verwenden, was ein erhebliches Risiko darstellt, falls Passwörter gestohlen werden. Am vergangenen Donnerstag hat der Sicherheitsforscher Troy Hunt, bekannt durch seine Website HaveIBeenPwned, seinen bestehenden Datensatz von 306 Millionen durchgesickerten Passwörtern um weitere 200 Millionen erweitert, so dass sich die Gesamtzahl auf eine halbe Milliarde beläuft. Unternehmen können diese Liste zur Überprüfung von Passwörtern verwenden, um sicherzustellen, dass ihre Benutzer kein Passwort wählen, das bekannt ist und somit wahrscheinlich von Hackern verwendet wird, wenn sie versuchen, in ein System einzubrechen.

Pwned Passwords

online check against haveIBeenPwned database

Seine Sammlung von Passwörtern mit dem Namen Pwned Passwords verwendet SHA1-Hashes der Passwörter, um einen Abgleich zu ermöglichen. Sie bietet auch einen Zähler, der anzeigt, wie oft ein Passwort in der Datenbank verwendet wird, wobei "abc123" laut einem Blog von Hunt 2,5 Millionen Mal verwendet wurde.

In diesem Blog erklärt Hunt auch, wie er die 8,8 GB an Passwörtern aus einer Reihe von öffentlichen Lecks zusammengetragen hat, und er warnt eindringlich davor, Passwörter aus seiner Sammlung zu verwenden. Er hat sie zum kollektiven Download über einen Torrent zur Verfügung gestellt, und auf seiner Website bietet er eine API an, mit der Passwörter überprüft werden können. Es ist eine gängige Praxis sowohl von Angreifern als auch von Verteidigern im Bereich der Computersicherheit, Listen mit gängigen Passwörtern zu erstellen, die wiederum in so genannten Rainbow Tables verwendet werden, die dazu dienen, Benutzernamen/Passwort-Kombinationen aus verschlüsselten, gestohlenen Datenbanken wiederherzustellen. Oder, wie in diesem Fall, um sicherzustellen, dass die Benutzer keine zuvor geknackten Passwörter verwenden.

Passwortsicherheit in Nextcloud

Derzeit erlaubt Nextcloud den Administratoren, eine NIST-konforme Passwortqualität zu erzwingen, die eine Prüfung für häufig verwendete Passwörter wie test und abcabc beinhaltet. Die Einschränkungen werden überprüft, wenn ein Benutzer ein neues Passwort wählt oder wenn der Administrator einen neuen Benutzer mit Passwort anlegt. Der new test against the HaveIBeenPwned database fragt seine Datenbank über deren öffentliche API ab und gibt eine Warnung aus, wenn das Passwort verletzt wurde.

Da die Auslieferung einer 8,8 gb großen Passwortdatenbank zusammen mit Nextcloud für die meisten Benutzer wahrscheinlich etwas zu groß wäre. Indem wir einen Teil-Hash (die ersten fünf Zeichen) senden, vermeiden wir ein erhöhtes Risiko, dass das Passwort durchsickert, denn selbst wenn es abgefangen wird, sind diese ersten 5 Zeichen eines langen Hashes nicht sehr hilfreich, um das vollständige Passwort zu knacken. Außerdem würde der Angreifer den Benutzernamen nicht kennen. Der Administrator kann diese Funktion aktivieren oder deaktivieren - wir müssen noch festlegen, ob wir sie standardmäßig aktivieren werden, aber wahrscheinlich nicht.

Diese Verbesserung trägt dazu bei, die Passwörter sicherer zu machen, indem sie die Verwendung von Passwörtern, die bereits bekannt sind, vermeidet und unseren Brute-Force-Schutz, die Zwei-Faktor-Authentifizierung und die bestehenden Qualitätsprüfungen für Passwörter ergänzt, um einen starken Schutz der Konten zu gewährleisten.

Die new check wird Teil von Nextcloud 14 sein und könnte in einem der kommenden Patches auch auf Nextcloud 13 zurückportiert werden. Obwohl es sich technisch gesehen um eine neue Funktion handelt (und die Rückportierung von Funktionen ist immer mit einem Risiko verbunden), ist die Passwortsicherheit sehr wichtig, um die Daten unter Kontrolle zu halten und daher einen zusätzlichen Testaufwand wert. Wir empfehlen nach wie vor, die eingebaute Zwei-Faktor-Authentifizierung zu verwenden, um einen zusätzlichen Schutz vor gestohlenen Passwörtern zu gewährleisten!

Update: der Code wurde überprüft und zusammengeführt und wird in 13.0.1 zurückportiert. Er wird standardmäßig deaktiviert sein.

@@ Zeile 1: / Zeile 1: @@
-== Nextcloud will check passwords against database of HaveIBeenPwned ==
+== Nextcloud prüft Passwörter gegen die Datenbank von HaveIBeenPwned ==
-[[File:haveibeenpwned.png|thumb]]
+[[Datei:haveibeenpwned.png|thumb]]
-Users tend to use the same passwords in multiple locations, which poses a significant risk in case passwords are stolen. Last Thursday, Security researcher Troy Hunt, known from his site HaveIBeenPwned, expanded his existing dataset of 306 million leaked passwords with another 200 million, bringing the total to half a billion. Organizations can use this list to check passwords against, ensuring their users don’t pick a password that is known and thus likely to be tried by hackers when trying to break into a system.
+Benutzer neigen dazu, dieselben Passwörter an mehreren Orten zu verwenden, was ein erhebliches Risiko darstellt, falls Passwörter gestohlen werden. Am vergangenen Donnerstag hat der Sicherheitsforscher Troy Hunt, bekannt durch seine Website HaveIBeenPwned, seinen bestehenden Datensatz von 306 Millionen durchgesickerten Passwörtern um weitere 200 Millionen erweitert, so dass sich die Gesamtzahl auf eine halbe Milliarde beläuft. Unternehmen können diese Liste zur Überprüfung von Passwörtern verwenden, um sicherzustellen, dass ihre Benutzer kein Passwort wählen, das bekannt ist und somit wahrscheinlich von Hackern verwendet wird, wenn sie versuchen, in ein System einzubrechen.
 === Pwned Passwords ===
-[[File:haveibeenpwnedPwd.png|thumb|online check against haveIBeenPwned database]]
+[[Datei:haveibeenpwnedPwd.png|thumb|online check against haveIBeenPwned database]]
-His collection of passwords, named [https://haveibeenpwned.com/Passwords Pwned Passwords], uses SHA1 hashes of the passwords to allow checks against it. It also offers a counter to show how often a password is used in the database, with ''abc123'' having a count of 2.5 million according to a [https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/ blog by Hunt.]
+Seine Sammlung von Passwörtern mit dem Namen [https://haveibeenpwned.com/Passwords Pwned Passwords] verwendet SHA1-Hashes der Passwörter, um einen Abgleich zu ermöglichen. Sie bietet auch einen Zähler, der anzeigt, wie oft ein Passwort in der Datenbank verwendet wird, wobei "abc123" laut einem [https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/ Blog von Hunt] 2,5 Millionen Mal verwendet wurde.
-In this blog, Hunt also explains as he gathered the 8,8GB worth of passwords from a series of public leaks, and he warns strongly against using passwords part of his collection. He made them available to be collectively downloaded via a torrent, and on his website he offers an API which can be used to check passwords against. It is a common practice of both attackers and defenders in computing security to built lists of commonly passwords which are in turn used in so called [https://en.wikipedia.org/wiki/Rainbow_table Rainbow Tables] which are used to recover username/password combinations from encrypted, stolen databases. Or, like in this case, to ensure users don’t use previously breached passwords.
+In diesem Blog erklärt Hunt auch, wie er die 8,8 GB an Passwörtern aus einer Reihe von öffentlichen Lecks zusammengetragen hat, und er warnt eindringlich davor, Passwörter aus seiner Sammlung zu verwenden. Er hat sie zum kollektiven Download über einen Torrent zur Verfügung gestellt, und auf seiner Website bietet er eine API an, mit der Passwörter überprüft werden können. Es ist eine gängige Praxis sowohl von Angreifern als auch von Verteidigern im Bereich der Computersicherheit, Listen mit gängigen Passwörtern zu erstellen, die wiederum in so genannten [https://en.wikipedia.org/wiki/Rainbow_table Rainbow Tables] verwendet werden, die dazu dienen, Benutzernamen/Passwort-Kombinationen aus verschlüsselten, gestohlenen Datenbanken wiederherzustellen. Oder, wie in diesem Fall, um sicherzustellen, dass die Benutzer keine zuvor geknackten Passwörter verwenden.
-=== Password security in Nextcloud ===
+=== Passwortsicherheit in Nextcloud ===
-Currently, Nextcloud allows administrators to enforce a NIST compliant password quality, which includes a check for commonly used passwords like ''‘test’'' and ''‘abcabc''. The limitations are checked when a user chooses a new password, or when the admin creates a new user with password. The [https://github.com/nextcloud/password_policy/pull/60 new test against the HaveIBeenPwned database] queries its database through their public API, giving a warning if the password has been breached.
+Derzeit erlaubt Nextcloud den Administratoren, eine NIST-konforme Passwortqualität zu erzwingen, die eine Prüfung für häufig verwendete Passwörter wie '''test''' und '''abcabc''' beinhaltet. Die Einschränkungen werden überprüft, wenn ein Benutzer ein neues Passwort wählt oder wenn der Administrator einen neuen Benutzer mit Passwort anlegt. Der [https://github.com/nextcloud/password_policy/pull/60 new test against the HaveIBeenPwned database] fragt seine Datenbank über deren öffentliche API ab und gibt eine Warnung aus, wenn das Passwort verletzt wurde.
-As shipping a 8.8 gb password database alongside Nextcloud would probably make the download a little to big for most users. By sending a partial hash (the first five characters), we avoid any increased risk of leaking the password as, even if intercepted, those first 5 characters of a long hash aren’t very to helpful crack the full password. Besides, the attacker wouldn’t know the user name. The administrator can enable or disable this feature – we still have to determine if we’ll enable it by default but likely not.
+Da die Auslieferung einer 8,8 gb großen Passwortdatenbank zusammen mit Nextcloud für die meisten Benutzer wahrscheinlich etwas zu groß wäre. Indem wir einen Teil-Hash (die ersten fünf Zeichen) senden, vermeiden wir ein erhöhtes Risiko, dass das Passwort durchsickert, denn selbst wenn es abgefangen wird, sind diese ersten 5 Zeichen eines langen Hashes nicht sehr hilfreich, um das vollständige Passwort zu knacken. Außerdem würde der Angreifer den Benutzernamen nicht kennen. Der Administrator kann diese Funktion aktivieren oder deaktivieren - wir müssen noch festlegen, ob wir sie standardmäßig aktivieren werden, aber wahrscheinlich nicht.
 [[File:nextcloudPasswordPolicy.png| thumb | Password Policy settings in Nextcloud]]
-This improvement helps make passwords more secure, avoiding the use of known breached passwords and adding to our brute-force protection, two-factor authentication and existing password quality checks to ensure strong account protection.
+Diese Verbesserung trägt dazu bei, die Passwörter sicherer zu machen, indem sie die Verwendung von Passwörtern, die bereits bekannt sind, vermeidet und unseren Brute-Force-Schutz, die Zwei-Faktor-Authentifizierung und die bestehenden Qualitätsprüfungen für Passwörter ergänzt, um einen starken Schutz der Konten zu gewährleisten.
-The [https://github.com/nextcloud/password_policy/pull/60 new check] will be part of Nextcloud 14 and might also be backported to Nextcloud 13 in one of the upcoming patch releases. While this technically qualifies as a new feature (and backporting features always comes at a risk), password security is very central to keeping data under control and thus worthy of some extra testing effort. We still recommend to use the built in two-factor authentication to provide additional protection against stolen passwords!
+Die [https://github.com/nextcloud/password_policy/pull/60 new check] wird Teil von Nextcloud 14 sein und könnte in einem der kommenden Patches auch auf Nextcloud 13 zurückportiert werden. Obwohl es sich technisch gesehen um eine neue Funktion handelt (und die Rückportierung von Funktionen ist immer mit einem Risiko verbunden), ist die Passwortsicherheit sehr wichtig, um die Daten unter Kontrolle zu halten und daher einen zusätzlichen Testaufwand wert. Wir empfehlen nach wie vor, die eingebaute Zwei-Faktor-Authentifizierung zu verwenden, um einen zusätzlichen Schutz vor gestohlenen Passwörtern zu gewährleisten!
-'''Update:''' the code has been reviewed and merged and will be backported to 13.0.1. It will be disabled by default.
+'''Update:''' der Code wurde überprüft und zusammengeführt und wird in 13.0.1 zurückportiert. Er wird standardmäßig deaktiviert sein.