HIBP Nutzung in Keyhelp

[Ralph]

Habe hier einen Kunden der vorwirft, seine Passwörter werden mit ALIEN TXTBASE verglichen (Weitergabe) ...

Bei der HIBP Nutzung via KH ... wäre für Dienstleister (Webhoster oder Agenturen) ein besonderer Verweis in den AGB oder Data Privacy erforderlich?

For verification, a service at haveibeenpwned.com is used. This website enables internet users to check whether their personal data has been compromised by data leaks. At no time is the password transmitted to this service. The security of the data is ensured by a k-anonymity model.

At no time is the password transmitted to this service.

Ist das 100% der Fall?

HIBP v3 API now requires the use of an API Key

Wird bei den KH checks kein api-key verwendet?

Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?

[Jolinar]

Ist das 100% der Fall?

Ja.

Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?

Leg testweise irgendwas an, wo ein PW erforderlich (zB. einen User) und gib dort ein kompromittiertes PW an. Dann siehst du die Wirkung

[Ralph]

Ist das 100% der Fall?

Ja.

Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?

Leg testweise irgendwas an, wo ein PW erforderlich (zB. einen User) und gib dort ein kompromittiertes PW an. Dann siehst du die Wirkung

Ich sehe aufgrund der aktuellen Situation (Unmengen an Daten) einen Leak Checker als unverzichtbar ... das Problem bekommt niemand mehr in den Griff wenn nicht auf kompromittierte PW hingewiesen werden darf.
Die NIS2 verweisen außerdem darauf Schutzmaßnahmen zu ergreifen - kann jetzt nicht sagen ob HIBP dsgvo konform ist, aber als eine geforderte Schutzmaßnahme wäre es sicherlich legitim.
https://kanzlei-kramarz.de/datenschutzv ... oessen-an/

Die Frage ist nur (bitte ohne Anwalt Odyssee) muß der Kunde noch darauf hingewiesen werden wenn Leak Checker als "Schutzmaßnahme"
für Cybersecurity nach NIS2 verwendet werden?

[Jolinar]

Die Frage ist nur (bitte ohne Anwalt Odyssee) muß der Kunde noch darauf hingewiesen werden wenn Leak Checker als "Schutzmaßnahme"
für Cybersecurity nach NIS2 verwendet werden?

Ja, ein klarer Verweis in den AGB und/oder der Datenschutzerklärung ist absolut empfehlenswert und aus Gründen der Transparenz und der Datenschutzgrundverordnung (DSGVO) auch notwendig. Der Nutzer muss darüber informiert werden, dass eine Überprüfung seiner Passwörter mittels eines Dienstes wie Have I Been Pwned (HIBP) stattfindet.

Quelle: Gemini (war zu faul zum tippen^^)

[Ralph]

Ja, ein klarer Verweis in den AGB und/oder der Datenschutzerklärung ist absolut empfehlenswert und aus Gründen der Transparenz und der Datenschutzgrundverordnung (DSGVO) auch notwendig. Der Nutzer muss darüber informiert werden, dass eine Überprüfung seiner Passwörter mittels eines Dienstes wie Have I Been Pwned (HIBP) stattfindet.
Quelle: Gemini (war zu faul zum tippen^^)

Danke Joli, ich bin mir nicht ganz sicher, weil ja keine intakten (Original) Passwörter übermittelt werden ...
Einen kleinen Hinweis zur Nutzung von HIBP in den AGB werde ich aber hinzufügen.

[Jolinar]

Einen kleinen Hinweis zur Nutzung von HIBP in den AGB werde ich aber hinzufügen.

Würde auf jeden Fall Sinn machen...

[Ralph]

Würde auf jeden Fall Sinn machen...

Ok, hast Du eine Ahnung wie es sich technisch damit verhält ist es ein lokaler Check oder auch eine Übermittlung?

Disallows the 100,000 most common passwords.

[Jolinar]

ist es ein lokaler Check oder auch eine Übermittlung?

AFAIK wird da lokal gegen eine Liste geprüft.

[Ralph]

Ist schon nervig u. paradox, der ganze DSGVO Kram steht mit momentan notwendigen sicherheitstechnischen Schutzmaßnahmen immer in Konflikt ...

Wäre vieleicht keine schlechte Idee, wenn der User diese Option für HIBP selbst aktivieren müsste, schau mal wie z.b. keymatiq das machen:
https://key.matiq.com/info/privacy_noti ... &wzoom=1.0

Prüfung von Kennworten über den Dienst "Have I Been Pwned"
Die Benutzer*in erhält die Möglichkeit, Kennworte über den Dienst "Have I been pwned" (HIBP) prüfen zu lassen, ob sie kompromittiert sind, d. h. in Datenlecks offengelegt wurden.

Für diese Prüfung wird nicht das in Frage stehende Kennwort sondern ein Teil eines Hashes (eine Art lange Prüfsumme) des Kennworts an den Dienst übermittelt. Eine genaue Beschreibung des Verfahrens ist im Handbuch enthalten.

Die Prüfung wird jeweils nur durchgeführt, wenn die Benutzer*in dies ausdrücklich wünscht. Ohne diesen Wunsch verzichtet sie lediglich auf die Prüfung, ohne weitere Belästigung oder Einschränkung der Funktionalität.

[Jolinar]

Wäre vieleicht keine schlechte Idee, wenn der User diese Option für HIBP selbst aktivieren müsste

Halte ich persönlich nicht für sinnvoll. Dann kannst du auch gleich wieder MD5, SHA-1 oder SSLx.x zulassen.
Manche Sachen sollten einfach als notwendig deklariert werden, zumal ja in diesem Fall sowieso nur Hashes ausgetauscht und überprüft werden, was aus Sicht des Datenschutzes ja nun keinerlei Problem darstellt.

[Ralph]

Halte ich persönlich nicht für sinnvoll. Dann kannst du auch gleich wieder MD5, SHA-1 oder SSLx.x zulassen.
Manche Sachen sollten einfach als notwendig deklariert werden, zumal ja in diesem Fall sowieso nur Hashes ausgetauscht und überprüft werden, was aus Sicht des Datenschutzes ja nun keinerlei Problem darstellt.

Ja, das wäre dann so gut wie nutzlos - quasi
Die momentane Situation macht es möglicherweise zwangläufig notwendig Prioritäten bzgl. DSGVO zu setzen ... nicht nur wg. der Leaks.