Datendiebstahl: Wie sicher ist die Speicherung der Benutzer-Passwörter in der Joomla-DB

  • Ich kenne mich ja selbst und meine Ungeduld: Wenn ich irgendein Online-Formular ausfülle, schon fast fertig bin und dann aus irgendeinem Grund das Formular plötzlich wieder komplett leer ist, dann macht mich das so sauer ("...mal wieder kostbare Lebenszeit vergeudet...":cursing:), dass ich in solchen Fällen des öfteren schon ganz auf die weitere Nutzung der entsprechenden Webseite verzichtet und mich nicht registriert habe. Da kann ich mir gut vorstellen, dass es anderen ganz ähnlich geht.

    Teste es einfach einige male. Es steht doch dort reagiert im allgemeinen recht schnell. Ausnahmen bestätigen die Regel :)

  • Teste es einfach einige male. Es steht doch dort reagiert im allgemeinen recht schnell. Ausnahmen bestätigen die Regel :)

    Gerade gemacht!

    Zu meiner Freude löscht es doch nicht sämtliche Eingaben aus dem Formular, wenn das PW nicht akzeptiert wird. In diesem Fall wird nur das PW selbst gelöscht, alles andere bleibt erhalten und man bekommt die Meldung:


    Fehler

    Speichern fehlgeschlagen! Fehler: Sorry, your chosen password is insecure, as it is known to have been previously compromised. This has been verified using the HaveIBeenPwned.com API. For more information on this, please visit HaveIBeenPwned.com. In the meanwhile, please select another password.


    Jetzt rätsele ich noch, welcher "Kompromisswert" einen guten Kompromiss zwischen "hinreichend sicher" und "nicht zu streng" darstellt. Mangels Erfahrung nehme ich mal die Mitte zwischen 0 und 10, also 5. Ich denke, dass muss doch immer noch deutlich besser sein, als den HIBP-Check gar nicht zu machen.

    ***********


    Wo aber die Doku auch falsch informiert, ist:


    Darüber hinaus gibt die API auch zurück, wie oft das angegebene Kennwort in der Datenbank vorhanden ist. Dies kann auch verwendet werden, um die Sicherheit (oder deren Fehlen) eines bestimmten Passworts festzulegen. Wenn es viele Male in der Datenbank vorhanden ist, handelt es sich eindeutig um ein häufig verwendetes Kennwort, das angreifbar ist, selbst wenn es die herkömmlichen Komplexitätstests erfolgreich bestanden hat.

    Diese Information "wie oft" wurde mir nicht verraten.


  • Wo aber die Doku auch falsch informiert, ist:


    Darüber hinaus gibt die API auch zurück, wie oft das angegebene Kennwort in der Datenbank vorhanden ist. Dies kann auch verwendet werden, um die Sicherheit (oder deren Fehlen) eines bestimmten Passworts festzulegen. Wenn es viele Male in der Datenbank vorhanden ist, handelt es sich eindeutig um ein häufig verwendetes Kennwort, das angreifbar ist, selbst wenn es die herkömmlichen Komplexitätstests erfolgreich bestanden hat.

    Diese Information "wie oft" wurde mir nicht verraten.


    Ich denke, dass das ein Übersetzungsfehler ist. Im Frontend darf ja nicht stehen das PW ist schon 10 mal in der DB vorhanden. Das wäre ja eine krasse Sicherheitslücke. Ich denke eher, dass der Fall geprüft wird und ggf. das PW als unsicher eingestuft wird.

    Ich ziehe mich aber auch mal hier zurück :) Nutze das Plugin nicht. Fand die Informationen bezüglich der PW Sicherheit aber sehr interessant und hatte daher meinen Senf (oder Schrott) dazu gegeben und habe keine Ahnung vom Plugin...

  • Ich denke, dass das ein Übersetzungsfehler ist. Im Frontend darf ja nicht stehen das PW ist schon 10 mal in der DB vorhanden. Das wäre ja eine krasse Sicherheitslücke. Ich denke eher, dass der Fall geprüft wird und ggf. das PW als unsicher eingestuft wird.

    Ja, und ich denke, es macht auch einen Unterschied, ob das PW 10 mal in der DB steht, weil 10 verschiedene Nutzer es verwendet hatten oder ob das PW deshalb 10 mal drinsteht, weil ICH allein es bereits für 10 verschiedene Accounts auf ganz unterschiedlichen Webseiten verwendet habe, die dann alle (schön nacheinander) geknackt wurden ...pardon

    Zitat
    Ich ziehe mich aber auch mal hier zurück :) Nutze das Plugin nicht. Fand die Informationen bezüglich der PW Sicherheit aber sehr interessant und hatte daher meinen Senf (oder Schrott) dazu gegeben und habe keine Ahnung vom Plugin...

    Hm, da fällt mir wieder mal auf, dass unsere Sprache nicht so richtig eindeutig und logisch ist: Jemand der mit dem Plugin (noch) nicht experimentiert hat, kann lediglich keine Wissung (wahrscheinlich sagen die Leute dann "kein Wissen") davon haben. Jeder aber, der auch nur annhähernd ahnt, worum es sich dabei handeln und was man damit machen könnte, hat auch eine Ahnung davon! Wer sonst? Ein Wissender braucht keine Ahnung mehr! 8)