Die Webseite haveibeenpwned.com stellt unter anderem eine Liste mit Passwörtern zur Verfügung, die in Datenleaks aufgetaucht sind.
haveibeenpwned ist sicher
Zur Übrprüfung wird nie das komplette Passwort gesendet, sondern nur eine kleiner Teils Hash-Wert.
Die genutzte Funktion „Pwned Passwords“ sucht in der Datenbank mit frühere Datenpannen nach dem Vorhandensein eines vom Benutzer bereitgestellten Passworts. Das Passwort wird mit dem SHA-1-Algorithmus gehasht und es werden nur die ersten 5 Zeichen des Hashes gesendet.
Integration in ISPConfig
Im Bereich Systemkonfiguration kannst Du im Reiter „Diverses“ die Anzahl an Einträge einstellen, die ein Passwort maximal bei der Abfrage der Datenbank von haveibeenpwned haben darf.
Wird ein Passwort eingetragen, dass sich öfter in der Datenbank befindet als Du zugelassen hast, wird ein Hinweis angezeigt und das Passwort kann nicht verwendet werden.