Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwned Passwords: Troy Hunt…

API nicht benutzen!

  1. Thema

Neues Thema Ansicht wechseln


  1. API nicht benutzen!

    Autor: Strai 23.02.18 - 13:00

    Wenn hier schon von Sicherheit die Rede ist, sollte auch erwähnt werden, dass die API nicht benutzt werden sollte. Wenn ich einen Dienst betreibe, ist das Passwort meiner Kunden so geheim, dass ich es selbst nicht kennen will/darf. Warum sollte ich dieses Passwort also zu einem weiteren Dienst zur Überprüfung schicken, dessen Vertrauenswürdigkeit ich nicht überprüfen kann? Und selbst falls haveibeenpwned.com vertrauenswürdig ist, wie kann ich sicher sein, dass sich dort nicht andere Bösewichte eingenistet haben?

    Selbst meine eigenen Passwörter würde ich dort nicht überprüfen lassen, weil ich nicht sicher sein kann, was damit passiert.

    Der einzig sichere Weg ist, die Datenbank herunterzuladen und Passwörter anhand dieser Daten lokal zu überprüfen.

  2. Re: API nicht benutzen!

    Autor: Bouncy 23.02.18 - 13:44

    Vielleicht bequemst du dich vor so einem öffentlichen Aufschrei den Blog zur neuen API zu lesen, das wäre hilfreich und könnte ein kleinwenig den Eindruck von Fundiertheit machen...

  3. Re: API nicht benutzen!

    Autor: TheUnichi 23.02.18 - 17:31

    Strai schrieb:
    --------------------------------------------------------------------------------
    > Wenn hier schon von Sicherheit die Rede ist, sollte auch erwähnt werden,
    > dass die API nicht benutzt werden sollte. Wenn ich einen Dienst betreibe,
    > ist das Passwort meiner Kunden so geheim, dass ich es selbst nicht kennen
    > will/darf. Warum sollte ich dieses Passwort also zu einem weiteren Dienst
    > zur Überprüfung schicken, dessen Vertrauenswürdigkeit ich nicht überprüfen
    > kann? Und selbst falls haveibeenpwned.com vertrauenswürdig ist, wie kann
    > ich sicher sein, dass sich dort nicht andere Bösewichte eingenistet haben?
    >
    > Selbst meine eigenen Passwörter würde ich dort nicht überprüfen lassen,
    > weil ich nicht sicher sein kann, was damit passiert.
    >
    > Der einzig sichere Weg ist, die Datenbank herunterzuladen und Passwörter
    > anhand dieser Daten lokal zu überprüfen.

    So wie ich es verstanden habe, läd man sich diese runter bzw. zieht die Daten, synchronisiert sie regelmässig und fährt dann eine eigene API.
    Warum sollte irgendjemand ohne weiteres eine Fremd-API derart einbinden, der auf Sicherheit aus ist?

  4. Re: API nicht benutzen!

    Autor: dit 23.02.18 - 20:39

    Strai schrieb:
    --------------------------------------------------------------------------------
    > Wenn hier schon von Sicherheit die Rede ist, sollte auch erwähnt werden,
    > dass die API nicht benutzt werden sollte. Wenn ich einen Dienst betreibe,
    > ist das Passwort meiner Kunden so geheim, dass ich es selbst nicht kennen
    > will/darf. Warum sollte ich dieses Passwort also zu einem weiteren Dienst
    > zur Überprüfung schicken, dessen Vertrauenswürdigkeit ich nicht überprüfen
    > kann? Und selbst falls haveibeenpwned.com vertrauenswürdig ist, wie kann
    > ich sicher sein, dass sich dort nicht andere Bösewichte eingenistet haben?
    >
    > Selbst meine eigenen Passwörter würde ich dort nicht überprüfen lassen,
    > weil ich nicht sicher sein kann, was damit passiert.
    >
    > Der einzig sichere Weg ist, die Datenbank herunterzuladen und Passwörter
    > anhand dieser Daten lokal zu überprüfen.

    Absolut einverstanden.

    Besser wäre es, wenn man dort nicht das Passwort sondern den Hash eingeben würde.

    Alles andere ist unseriös und unsicher.

  5. Re: API nicht benutzen!

    Autor: MadC 24.02.18 - 10:53

    dit schrieb:
    --------------------------------------------------------------------------------
    > Strai schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn hier schon von Sicherheit die Rede ist, sollte auch erwähnt werden,
    > > dass die API nicht benutzt werden sollte. Wenn ich einen Dienst
    > betreibe,
    > > ist das Passwort meiner Kunden so geheim, dass ich es selbst nicht
    > kennen
    > > will/darf. Warum sollte ich dieses Passwort also zu einem weiteren
    > Dienst
    > > zur Überprüfung schicken, dessen Vertrauenswürdigkeit ich nicht
    > überprüfen
    > > kann? Und selbst falls haveibeenpwned.com vertrauenswürdig ist, wie kann
    > > ich sicher sein, dass sich dort nicht andere Bösewichte eingenistet
    > haben?
    > >
    > > Selbst meine eigenen Passwörter würde ich dort nicht überprüfen lassen,
    > > weil ich nicht sicher sein kann, was damit passiert.
    > >
    > > Der einzig sichere Weg ist, die Datenbank herunterzuladen und Passwörter
    > > anhand dieser Daten lokal zu überprüfen.
    >
    > Absolut einverstanden.
    >
    > Besser wäre es, wenn man dort nicht das Passwort sondern den Hash eingeben
    > würde.
    >
    > Alles andere ist unseriös und unsicher.

    Die API hat die Funktion eine Bereichsabfrage zu beantworten. Man schickt das 5 Zeichen Präfix des sha1 hash seines Passworts und bekommt die Liste aller Kandidaten mit leak Häufigkeit. Dann sucht man in lokal dieser Liste nach seinem hash.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. enercity AG, Hannover
  2. Impactory GmbH, Darmstadt (Home-Office)
  3. DATAGROUP Köln GmbH, Köln
  4. Etkon GmbH, Gräfelfing

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-67%) 3,30€
  3. 3,99€
  4. 69,99€ (Release am 25. Oktober)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49