Verรถffentlicht von Wir gleichen unsere Datenbank mit Listen kompromittierter Passwรถrter ab, damit wir sie prรคventiv zurรผcksetzen kรถnnen.
Niemand mรถchte die Sicherheit seiner Online-Daten gefรคhrdet sehen. Leider ist eine Verletzung des Datenschutz auch bei groรen und vertrauenswรผrdigen Unternehmen keine Seltenheit. Ein Grund fรผr Sicherheitsdruchbrรผche ist die Sicherheit vom Passwort.
Beispielsweise sind 1919 auf beliebten Websites, wie Facebook und Quora groรe Sicherheitslรผcken festgestellt worden.
Diese Lรผcken in der Sicherheit kรถnnen Deine E-Mail-Adressen, Passwรถrter und anderer Informationen gefรคhrden. Manchmal verwenden Kunden sehr lange dasselbe Passwort im SuperSaaS-Konto. Oder sie benutzen dasselbe Passwort fรผr SuperSaaS und gleichzeitig fรผr eine andere Website.
Mit zwei Arten versuchen wir uns gegen Hacker und einen unerlaubten Zugang zu schรผtzen:
- Die Eingabe groรer Mengen von Passwรถrtern wird verhindert
- Passwort-Check von kompromittierten Passwรถrtern
Wir verhindern die Eingabe groรer Mengen von Passwรถrtern, aber das bietet keinen vollstรคndigen Schutz.
Zunรคchst einmal haben wir ein System eingerichtet, das jeden erkennt, der eine groรe Anzahl von Passwรถrtern auf einmal ausprobiert. Diese IP-Adressen werden automatisch blockiert und unsere รberwachungssoftware alarmiert uns.
Eine solche Art der รberwachung ist jedoch nicht vollstรคndig wirksam. Hacker kรถnnen eine groรe Anzahl von IP-Adressen verwenden und mit jeder ein paar Passwรถrter testen.
Wir รผberprรผfen Dein Passwort anhand einer Liste bekannter kompromittierter Passwรถrter
Als zweite Verteidigungsmaรnahme benutzen wir die Listen der kompromittierten Konten von online Forschungsunternehmen der IT-Sicherheit. Und dort รผberprรผfen wir, ob einer unserer Kunden aufgelistet ist.
Auf der Seite Have i been pwned? kannst Du รผberprรผfen, ob Dein Konto in der Liste auftaucht.
Wenn wir ein รผbereinstimmendes Passwort finden, prรผfen wir, ob die entsprechende E-Mail-Adresse ebenfalls in der Liste erscheint. Falls dann beide auftauchen setzen wir das Passwort zurรผck.
Wir รผberprรผfen Dein Passwort, ohne es zu kennen
Es ist wichtig zu wissen, dass wir Dein Passwort fรผr diese รberprรผfung nicht an jemanden weitergeben. Denn Dein Passwort verlรคsst nie unsere Server.
Stattdessen verwenden wir einen mathematischen Fingerabdruck Deines Passworts, einen sogenannten kryptografischen Hash. Dann prรผfen wir, ob dieser Hash in der Liste erscheint.
Die verschlรผsselten Daten werden sicher aufbewahrt und verlassen unser Bรผro nicht. Gleichzeitig sind sie harmlos und kรถnnen nicht in ein Passwort zurรผckverwandelt werden.
Auf diese Weise hat keiner direkt mit den eigentlichen Passwรถrtern zu tun. Und wir wissen nicht einmal, welches Kennwort Du verwendest, wenn wir eine รbereinstimmung in der Liste finden.
Wir wissen nur, dass es auf einer Liste kompromittierter Passwรถrter steht und dass es eine gute Idee wรคre, ein neues zu erstellen.
Wir setzen die Passwรถrter zurรผck, die wir in der Liste finden
Wenn der Hash Deines Passworts tatsรคchlich in der Liste der gehashten Passwรถrter gefunden wird, lรถschen wir Dein Passwort vorsichtshalber.
Wenn Du das nรคchste Mal versuchst, Dich anzumelden, wirst Du zur Seite „Passwort verloren“ weitergeleitet. So kannst Du Dir per E-Mail einen Link zum Zurรผcksetzen des Passworts schicken.
Dies bedeutet nicht, dass Dein Konto kompromittiert worden ist. Dein Passwort wird von uns als Vorbeugung zurรผckgesetzt, um zu verhindern, dass es in Zukunft kompromittiert wird.
Eine kleine Verรคrgerung รผber ein gelรถschtes Passwort wiegt unserer Meinung nach den groรen รrger รผber ein missbrauchtes Konto auf.
Den Vorgang der Sicherheitsprรผfung der Passwรถrter werden wir in regelmรครigen Abstรคnden wiederholen. Zum Beispiel dann, wenn eine weitere groรe Sicherheitsverletzung von Passwรถrtern auftritt und dazu neue Listen online erscheinen.
Wir sprechen selten รผber unsere Sicherheit. Denn solange wir unsere Arbeit gut machen, sollte es wenig darรผber zu sagen geben. Fรผr Dich ist das eine der Sicherungsmaรnahmen, die Du direkt erleben kannst. Damit kannst Du Dich bei der Benutzung von SuperSaaS sicher fรผhlen. Du kannst sicher sein, dass unser Team jeden Tag im Hintergrund hart an der Cybersicherheit arbeitet.