Veröffentlicht von 
Wir gleichen unsere Datenbank mit Listen kompromittierter Passwörter ab, damit wir sie präventiv zurücksetzen können.
Niemand möchte die Sicherheit seiner Online-Daten gefährdet sehen. Leider ist eine Verletzung des Datenschutz auch bei großen und vertrauenswürdigen Unternehmen keine Seltenheit. Ein Grund für Sicherheitsdruchbrüche ist die Sicherheit vom Passwort.
Beispielsweise sind 1919 auf beliebten Websites, wie Facebook und Quora große Sicherheitslücken festgestellt worden.
Diese Lücken in der Sicherheit können Deine E-Mail-Adressen, Passwörter und anderer Informationen gefährden. Manchmal verwenden Kunden sehr lange dasselbe Passwort im SuperSaaS-Konto. Oder sie benutzen dasselbe Passwort für SuperSaaS und gleichzeitig für eine andere Website.
Mit zwei Arten versuchen wir uns gegen Hacker und einen unerlaubten Zugang zu schützen:
- Die Eingabe großer Mengen von Passwörtern wird verhindert
- Passwort-Check von kompromittierten Passwörtern
Wir verhindern die Eingabe großer Mengen von Passwörtern, aber das bietet keinen vollständigen Schutz.
Zunächst einmal haben wir ein System eingerichtet, das jeden erkennt, der eine große Anzahl von Passwörtern auf einmal ausprobiert. Diese IP-Adressen werden automatisch blockiert und unsere Überwachungssoftware alarmiert uns.
Eine solche Art der Überwachung ist jedoch nicht vollständig wirksam. Hacker können eine große Anzahl von IP-Adressen verwenden und mit jeder ein paar Passwörter testen.
Wir überprüfen Dein Passwort anhand einer Liste bekannter kompromittierter Passwörter
Als zweite Verteidigungsmaßnahme benutzen wir die Listen der kompromittierten Konten von online Forschungsunternehmen der IT-Sicherheit. Und dort überprüfen wir, ob einer unserer Kunden aufgelistet ist.
Auf der Seite Have i been pwned? kannst Du überprüfen, ob Dein Konto in der Liste auftaucht.
Wenn wir ein übereinstimmendes Passwort finden, prüfen wir, ob die entsprechende E-Mail-Adresse ebenfalls in der Liste erscheint. Falls dann beide auftauchen setzen wir das Passwort zurück.
Wir überprüfen Dein Passwort, ohne es zu kennen
Es ist wichtig zu wissen, dass wir Dein Passwort für diese Überprüfung nicht an jemanden weitergeben. Denn Dein Passwort verlässt nie unsere Server.
Stattdessen verwenden wir einen mathematischen Fingerabdruck Deines Passworts, einen sogenannten kryptografischen Hash. Dann prüfen wir, ob dieser Hash in der Liste erscheint.
Die verschlüsselten Daten werden sicher aufbewahrt und verlassen unser Büro nicht. Gleichzeitig sind sie harmlos und können nicht in ein Passwort zurückverwandelt werden.
Auf diese Weise hat keiner direkt mit den eigentlichen Passwörtern zu tun. Und wir wissen nicht einmal, welches Kennwort Du verwendest, wenn wir eine Übereinstimmung in der Liste finden.
Wir wissen nur, dass es auf einer Liste kompromittierter Passwörter steht und dass es eine gute Idee wäre, ein neues zu erstellen.
Wir setzen die Passwörter zurück, die wir in der Liste finden
Wenn der Hash Deines Passworts tatsächlich in der Liste der gehashten Passwörter gefunden wird, löschen wir Dein Passwort vorsichtshalber.
Wenn Du das nächste Mal versuchst, Dich anzumelden, wirst Du zur Seite “Passwort verloren” weitergeleitet. So kannst Du Dir per E-Mail einen Link zum Zurücksetzen des Passworts schicken.
Dies bedeutet nicht, dass Dein Konto kompromittiert worden ist. Dein Passwort wird von uns als Vorbeugung zurückgesetzt, um zu verhindern, dass es in Zukunft kompromittiert wird.
Eine kleine Verärgerung über ein gelöschtes Passwort wiegt unserer Meinung nach den großen Ärger über ein missbrauchtes Konto auf.
Den Vorgang der Sicherheitsprüfung der Passwörter werden wir in regelmäßigen Abständen wiederholen. Zum Beispiel dann, wenn eine weitere große Sicherheitsverletzung von Passwörtern auftritt und dazu neue Listen online erscheinen.
Wir sprechen selten über unsere Sicherheit. Denn solange wir unsere Arbeit gut machen, sollte es wenig darüber zu sagen geben. Für Dich ist das eine der Sicherungsmaßnahmen, die Du direkt erleben kannst. Damit kannst Du Dich bei der Benutzung von SuperSaaS sicher fühlen. Du kannst sicher sein, dass unser Team jeden Tag im Hintergrund hart an der Cybersicherheit arbeitet.