KeyHelp Community

For verification, a service at haveibeenpwned.com is used. This website enables internet users to check whether their personal data has been compromised by data leaks. At no time is the password transmitted to this service. The security of the data is ensured by a k-anonymity model.

At no time is the password transmitted to this service.

HIBP v3 API now requires the use of an API Key

Ralph wrote: ↑Sat 28. Jun 2025, 08:31 Ist das 100% der Fall?

Ralph wrote: ↑Sat 28. Jun 2025, 08:31 Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?

Jolinar wrote: ↑Sat 28. Jun 2025, 09:08

Ralph wrote: ↑Sat 28. Jun 2025, 08:31 Ist das 100% der Fall?

Ja.

Ralph wrote: ↑Sat 28. Jun 2025, 08:31 Ich habe bisher noch kein "compromised PW result" in KH gesehen, wie sieht diese Meldung aus bzw. was bekommt der Kunde angezeigt - wird auch eine Email versendet?

Leg testweise irgendwas an, wo ein PW erforderlich (zB. einen User) und gib dort ein kompromittiertes PW an. Dann siehst du die Wirkung

Ralph wrote: ↑Sat 28. Jun 2025, 09:33 Die Frage ist nur (bitte ohne Anwalt Odyssee) muß der Kunde noch darauf hingewiesen werden wenn Leak Checker als "Schutzmaßnahme"
für Cybersecurity nach NIS2 verwendet werden?

Jolinar wrote: ↑Sat 28. Jun 2025, 10:09 Ja, ein klarer Verweis in den AGB und/oder der Datenschutzerklärung ist absolut empfehlenswert und aus Gründen der Transparenz und der Datenschutzgrundverordnung (DSGVO) auch notwendig. Der Nutzer muss darüber informiert werden, dass eine Überprüfung seiner Passwörter mittels eines Dienstes wie Have I Been Pwned (HIBP) stattfindet.
Quelle: Gemini (war zu faul zum tippen^^)

Ralph wrote: ↑Sat 28. Jun 2025, 10:29 Einen kleinen Hinweis zur Nutzung von HIBP in den AGB werde ich aber hinzufügen.

Jolinar wrote: ↑Sat 28. Jun 2025, 10:34 Würde auf jeden Fall Sinn machen...

Disallows the 100,000 most common passwords.

Ralph wrote: ↑Sat 28. Jun 2025, 10:46 ist es ein lokaler Check oder auch eine Übermittlung?

Prüfung von Kennworten über den Dienst "Have I Been Pwned"
Die Benutzer*in erhält die Möglichkeit, Kennworte über den Dienst "Have I been pwned" (HIBP) prüfen zu lassen, ob sie kompromittiert sind, d. h. in Datenlecks offengelegt wurden.

Für diese Prüfung wird nicht das in Frage stehende Kennwort sondern ein Teil eines Hashes (eine Art lange Prüfsumme) des Kennworts an den Dienst übermittelt. Eine genaue Beschreibung des Verfahrens ist im Handbuch enthalten.

Die Prüfung wird jeweils nur durchgeführt, wenn die Benutzer*in dies ausdrücklich wünscht. Ohne diesen Wunsch verzichtet sie lediglich auf die Prüfung, ohne weitere Belästigung oder Einschränkung der Funktionalität.

Ralph wrote: ↑Sat 28. Jun 2025, 11:12 Wäre vieleicht keine schlechte Idee, wenn der User diese Option für HIBP selbst aktivieren müsste

Jolinar wrote: ↑Sat 28. Jun 2025, 11:19 Halte ich persönlich nicht für sinnvoll. Dann kannst du auch gleich wieder MD5, SHA-1 oder SSLx.x zulassen.
Manche Sachen sollten einfach als notwendig deklariert werden, zumal ja in diesem Fall sowieso nur Hashes ausgetauscht und überprüft werden, was aus Sicht des Datenschutzes ja nun keinerlei Problem darstellt.