Zwangslogout zwecks Einführung eines Sicherheitsfeatures
- PoooMukkel
- 9 Antworten
- 710 Mal gelesen
- 2 Minuten
Leider passiert es immer häufiger, dass genutzte Logindaten auf einschlägigen Webseiten zu finden sind. Dadurch entsteht häufig nicht nur den betroffenen Benutzern selbst ein großer Schaden. Sehr oft sind auch die Webseiten betroffen, von denen die Logindaten stammen. Haben die betroffenen Benutzer dort z.B. erhöhte Berechtigungen, kann dies sehr große und weitreichende Auswirkungen haben.
Wir haben ein Sicherheitsfeature eingebaut, welches ein eingegebenes Passwort überprüft. Hier wird bei jedem Login und bei jeder Benutzer-Registrierung ein SHA1-Hash des eingegebenen Kennworts generiert. Die ersten 5 (von 40) Stellen dieses SHA1-Hashes werden an den Online-Dienst Have I Been Pwned übermittelt. Zurück kommt eine Liste mit allen SHA1-Hashes, die mit diesen 5 Stellen beginnen. In dieser Liste, die ausschließlich auf dem eigenen Server verarbeitet wird, werden dann die restlichen 35 Stellen des zuvor generierten SHA1-Hashes gesucht. Im Falle eines Funds wird eine entsprechende Warnung zurückgegeben.
Diese Warnung dient nur dem Benutzer selbst. Eine Speicherung dieses Status findet nicht statt und kann administrativ auch nicht eingesehen werden. Hier sollte vom Benutzer reagiert und das Passwort bei nächster Gelegenheit geändert werden!
Ein weiteres Sicherheitsfeature zeigt ab sofort sowohl bei einer Neuregistrierung als auch bei einer Änderung des Passwortes einen Indikator an, der die Sicherheitsstufe eines eingegebenen Passwortes angibt.
Es gibt nun auch die Möglichkeit, sich ein sicheres Passwort generieren zu lassen.
Allerdings ist darauf zu achten, dieses generierte Passwort zu speichern. 
Wir hoffen, euch mit diesen Sicherheitsfeatures das Leben mit CompiWare sicherer zu machen und euch eine Sorge in dieser Hinsicht abnehmen zu können. 
Antworten 9
lilithXgaia
Ich erwähne jetzt hier mal das ich das ganze für Sinnvoll halte.
Man schaue sich nur mal sowas da an:
Hacker klauen neun Millionen Daten von Easyjet-Kunden - com! professional
Pesti
Guter Schritt. Vom Standpunkt des Users gab es für mich keinerlei Probleme. Also alles gut.
Darklord
Da ich hier auch kein Problem hatte, finde ich das sehr gut.
PoooMukkel
Danke für die positiven Rückmeldungen!
winner3
Neus einloggen ist gut gelaufen !
Wenn das Sicherheitsupdate nötig war, dann ist das neue Log-in eine ganz klare Sache !!
John Sinclair
Einloggen lief super, nur hätte ich gerne per eMail, das vorher erfahren
Ansonsten alles gut. 
PoooMukkel
Massenmail verschicken geht leider aufgrund der DSGVO nicht mehr so ohne Weiteres.
lilithXgaia
mal abgesehen davon das ich das wegen einem einfachem neu Login für unnötig halte, das rechtfertigt sich bei den Maßnahmen nicht.
Würde es 2FA für alle geben wäre das was anderes...
John Sinclair
Stimmt auch wieder