HaveIBeenPwned

Aus Foxwiki

Nextcloud prüft Passwörter gegen die Datenbank von HaveIBeenPwned

Benutzer neigen dazu, dieselben Passwörter an mehreren Orten zu verwenden, was ein erhebliches Risiko darstellt, falls Passwörter gestohlen werden.

  • Am vergangenen Donnerstag hat der Sicherheitsforscher Troy Hunt, bekannt durch seine Website HaveIBeenPwned, seinen bestehenden Datensatz von 306 Millionen durchgesickerten Passwörtern um weitere 200 Millionen erweitert, so dass sich die Gesamtzahl auf eine halbe Milliarde beläuft.
  • Unternehmen können diese Liste zur Überprüfung von Passwörtern verwenden, um sicherzustellen, dass ihre Benutzer kein Passwort wählen, das bekannt ist und somit wahrscheinlich von Hackern verwendet wird, wenn sie versuchen, in ein System einzubrechen.

Pwned Passwords

online check against haveIBeenPwned database

Seine Sammlung von Passwörtern mit dem Namen Pwned Passwords verwendet SHA1-Hashes der Passwörter, um einen Abgleich zu ermöglichen.

  • Sie bietet auch einen Zähler, der anzeigt, wie oft ein Passwort in der Datenbank verwendet wird, wobei "abc123" laut einem Blog von Hunt 2,5 Millionen Mal verwendet wurde.

In diesem Blog erklärt Hunt auch, wie er die 8,8 GB an Passwörtern aus einer Reihe von öffentlichen Lecks zusammengetragen hat, und er warnt eindringlich davor, Passwörter aus seiner Sammlung zu verwenden.

  • Er hat sie zum kollektiven Download über einen Torrent zur Verfügung gestellt, und auf seiner Website bietet er eine API an, mit der Passwörter überprüft werden können.
  • Es ist eine gängige Praxis sowohl von Angreifern als auch von Verteidigern im Bereich der Computersicherheit, Listen mit gängigen Passwörtern zu erstellen, die wiederum in so genannten Rainbow Tables verwendet werden, die dazu dienen, Benutzernamen/Passwort-Kombinationen aus verschlüsselten, gestohlenen Datenbanken wiederherzustellen.
  • Oder, wie in diesem Fall, um sicherzustellen, dass die Benutzer keine zuvor geknackten Passwörter verwenden.

Passwortsicherheit in Nextcloud

Derzeit erlaubt Nextcloud den Administratoren, eine NIST-konforme Passwortqualität zu erzwingen, die eine Prüfung für häufig verwendete Passwörter wie test und abcabc beinhaltet.

  • Die Einschränkungen werden überprüft, wenn ein Benutzer ein neues Passwort wählt oder wenn der Administrator einen neuen Benutzer mit Passwort anlegt.
  • Der new test against the HaveIBeenPwned database fragt seine Datenbank über deren öffentliche API ab und gibt eine Warnung aus, wenn das Passwort verletzt wurde.

Da die Auslieferung einer 8,8 gb großen Passwortdatenbank zusammen mit Nextcloud für die meisten Benutzer wahrscheinlich etwas zu groß wäre.

  • Indem wir einen Teil-Hash (die ersten fünf Zeichen) senden, vermeiden wir ein erhöhtes Risiko, dass das Passwort durchsickert, denn selbst wenn es abgefangen wird, sind diese ersten 5 Zeichen eines langen Hashes nicht sehr hilfreich, um das vollständige Passwort zu knacken.
  • Außerdem würde der Angreifer den Benutzernamen nicht kennen.
  • Der Administrator kann diese Funktion aktivieren oder deaktivieren - wir müssen noch festlegen, ob wir sie standardmäßig aktivieren werden, aber wahrscheinlich nicht.
Password Policy settings in Nextcloud

Diese Verbesserung trägt dazu bei, die Passwörter sicherer zu machen, indem sie die Verwendung von Passwörtern, die bereits bekannt sind, vermeidet und unseren Brute-Force-Schutz, die Zwei-Faktor-Authentifizierung und die bestehenden Qualitätsprüfungen für Passwörter ergänzt, um einen starken Schutz der Konten zu gewährleisten.

Die new check wird Teil von Nextcloud 14 sein und könnte in einem der kommenden Patches auch auf Nextcloud 13 zurückportiert werden.

  • Obwohl es sich technisch gesehen um eine neue Funktion handelt (und die Rückportierung von Funktionen ist immer mit einem Risiko verbunden), ist die Passwortsicherheit sehr wichtig, um die Daten unter Kontrolle zu halten und daher einen zusätzlichen Testaufwand wert.
  • Wir empfehlen nach wie vor, die eingebaute Zwei-Faktor-Authentifizierung zu verwenden, um einen zusätzlichen Schutz vor gestohlenen Passwörtern zu gewährleisten!

Update: der Code wurde überprüft und zusammengeführt und wird in 13.0.1 zurückportiert.

  • Er wird standardmäßig deaktiviert sein.