HIBP Nutzung in Keyhelp

Allgemeine Diskussionen rund um KeyHelp.
Post Reply
User avatar
Ralph
Posts: 1282
Joined: Mon 30. Mar 2020, 16:14

HIBP Nutzung in Keyhelp

Post by Ralph »

Habe hier einen Kunden der vorwirft, seine Passwörter werden mit ALIEN TXTBASE verglichen (Weitergabe) ...

Bei der HIBP Nutzung via KH ... wäre für Dienstleister (Webhoster oder Agenturen) ein besonderer Verweis in den AGB oder Data Privacy erforderlich?
For verification, a service at haveibeenpwned.com is used. This website enables internet users to check whether their personal data has been compromised by data leaks. At no time is the password transmitted to this service. The security of the data is ensured by a k-anonymity model.
At no time is the password transmitted to this service.
Ist das 100% der Fall?
HIBP v3 API now requires the use of an API Key
Wird bei den KH checks kein api-key verwendet?

Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?
User avatar
Jolinar
Community Moderator
Posts: 4037
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: HIBP Nutzung in Keyhelp

Post by Jolinar »

Ralph wrote: Sat 28. Jun 2025, 08:31 Ist das 100% der Fall?
Ja.

Ralph wrote: Sat 28. Jun 2025, 08:31 Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?
Leg testweise irgendwas an, wo ein PW erforderlich (zB. einen User) und gib dort ein kompromittiertes PW an. Dann siehst du die Wirkung ;)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Ralph
Posts: 1282
Joined: Mon 30. Mar 2020, 16:14

Re: HIBP Nutzung in Keyhelp

Post by Ralph »

Jolinar wrote: Sat 28. Jun 2025, 09:08
Ralph wrote: Sat 28. Jun 2025, 08:31 Ist das 100% der Fall?
Ja.
Ralph wrote: Sat 28. Jun 2025, 08:31 Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?
Leg testweise irgendwas an, wo ein PW erforderlich (zB. einen User) und gib dort ein kompromittiertes PW an. Dann siehst du die Wirkung ;)
Ich sehe aufgrund der aktuellen Situation (Unmengen an Daten) einen Leak Checker als unverzichtbar ... das Problem bekommt niemand mehr in den Griff wenn nicht auf kompromittierte PW hingewiesen werden darf.
Die NIS2 verweisen außerdem darauf Schutzmaßnahmen zu ergreifen - kann jetzt nicht sagen ob HIBP dsgvo konform ist, aber als eine geforderte Schutzmaßnahme wäre es sicherlich legitim.
https://kanzlei-kramarz.de/datenschutzv ... oessen-an/

Die Frage ist nur (bitte ohne Anwalt Odyssee) muß der Kunde noch darauf hingewiesen werden wenn Leak Checker als "Schutzmaßnahme"
für Cybersecurity nach NIS2 verwendet werden?
User avatar
Jolinar
Community Moderator
Posts: 4037
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: HIBP Nutzung in Keyhelp

Post by Jolinar »

Ralph wrote: Sat 28. Jun 2025, 09:33 Die Frage ist nur (bitte ohne Anwalt Odyssee) muß der Kunde noch darauf hingewiesen werden wenn Leak Checker als "Schutzmaßnahme"
für Cybersecurity nach NIS2 verwendet werden?
Ja, ein klarer Verweis in den AGB und/oder der Datenschutzerklärung ist absolut empfehlenswert und aus Gründen der Transparenz und der Datenschutzgrundverordnung (DSGVO) auch notwendig. Der Nutzer muss darüber informiert werden, dass eine Überprüfung seiner Passwörter mittels eines Dienstes wie Have I Been Pwned (HIBP) stattfindet.

Quelle: Gemini (war zu faul zum tippen^^)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Ralph
Posts: 1282
Joined: Mon 30. Mar 2020, 16:14

Re: HIBP Nutzung in Keyhelp

Post by Ralph »

Jolinar wrote: Sat 28. Jun 2025, 10:09 Ja, ein klarer Verweis in den AGB und/oder der Datenschutzerklärung ist absolut empfehlenswert und aus Gründen der Transparenz und der Datenschutzgrundverordnung (DSGVO) auch notwendig. Der Nutzer muss darüber informiert werden, dass eine Überprüfung seiner Passwörter mittels eines Dienstes wie Have I Been Pwned (HIBP) stattfindet.
Quelle: Gemini (war zu faul zum tippen^^)
Danke Joli, ich bin mir nicht ganz sicher, weil ja keine intakten (Original) Passwörter übermittelt werden ...
Einen kleinen Hinweis zur Nutzung von HIBP in den AGB werde ich aber hinzufügen.
User avatar
Jolinar
Community Moderator
Posts: 4037
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: HIBP Nutzung in Keyhelp

Post by Jolinar »

Ralph wrote: Sat 28. Jun 2025, 10:29 Einen kleinen Hinweis zur Nutzung von HIBP in den AGB werde ich aber hinzufügen.
Würde auf jeden Fall Sinn machen... 8-)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Ralph
Posts: 1282
Joined: Mon 30. Mar 2020, 16:14

Re: HIBP Nutzung in Keyhelp

Post by Ralph »

Jolinar wrote: Sat 28. Jun 2025, 10:34 Würde auf jeden Fall Sinn machen... 8-)
Ok, hast Du eine Ahnung wie es sich technisch damit verhält ist es ein lokaler Check oder auch eine Übermittlung?
Disallows the 100,000 most common passwords.
User avatar
Jolinar
Community Moderator
Posts: 4037
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: HIBP Nutzung in Keyhelp

Post by Jolinar »

Ralph wrote: Sat 28. Jun 2025, 10:46 ist es ein lokaler Check oder auch eine Übermittlung?
AFAIK wird da lokal gegen eine Liste geprüft.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Ralph
Posts: 1282
Joined: Mon 30. Mar 2020, 16:14

Re: HIBP Nutzung in Keyhelp

Post by Ralph »

Ist schon nervig u. paradox, der ganze DSGVO Kram steht mit momentan notwendigen sicherheitstechnischen Schutzmaßnahmen immer in Konflikt ...

Wäre vieleicht keine schlechte Idee, wenn der User diese Option für HIBP selbst aktivieren müsste, schau mal wie z.b. keymatiq das machen:
https://key.matiq.com/info/privacy_noti ... &wzoom=1.0
Prüfung von Kennworten über den Dienst "Have I Been Pwned"
Die Benutzer*in erhält die Möglichkeit, Kennworte über den Dienst "Have I been pwned" (HIBP) prüfen zu lassen, ob sie kompromittiert sind, d. h. in Datenlecks offengelegt wurden.

Für diese Prüfung wird nicht das in Frage stehende Kennwort sondern ein Teil eines Hashes (eine Art lange Prüfsumme) des Kennworts an den Dienst übermittelt. Eine genaue Beschreibung des Verfahrens ist im Handbuch enthalten.

Die Prüfung wird jeweils nur durchgeführt, wenn die Benutzer*in dies ausdrücklich wünscht. Ohne diesen Wunsch verzichtet sie lediglich auf die Prüfung, ohne weitere Belästigung oder Einschränkung der Funktionalität.
User avatar
Jolinar
Community Moderator
Posts: 4037
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: HIBP Nutzung in Keyhelp

Post by Jolinar »

Ralph wrote: Sat 28. Jun 2025, 11:12 Wäre vieleicht keine schlechte Idee, wenn der User diese Option für HIBP selbst aktivieren müsste
Halte ich persönlich nicht für sinnvoll. Dann kannst du auch gleich wieder MD5, SHA-1 oder SSLx.x zulassen.
Manche Sachen sollten einfach als notwendig deklariert werden, zumal ja in diesem Fall sowieso nur Hashes ausgetauscht und überprüft werden, was aus Sicht des Datenschutzes ja nun keinerlei Problem darstellt.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Ralph
Posts: 1282
Joined: Mon 30. Mar 2020, 16:14

Re: HIBP Nutzung in Keyhelp

Post by Ralph »

Jolinar wrote: Sat 28. Jun 2025, 11:19 Halte ich persönlich nicht für sinnvoll. Dann kannst du auch gleich wieder MD5, SHA-1 oder SSLx.x zulassen.
Manche Sachen sollten einfach als notwendig deklariert werden, zumal ja in diesem Fall sowieso nur Hashes ausgetauscht und überprüft werden, was aus Sicht des Datenschutzes ja nun keinerlei Problem darstellt.
Ja, das wäre dann so gut wie nutzlos - quasi :lol:
Die momentane Situation macht es möglicherweise zwangläufig notwendig Prioritäten bzgl. DSGVO zu setzen ... nicht nur wg. der Leaks.
Post Reply