Contao-Camp 2024
Ergebnis 1 bis 15 von 15

Thema: Bestimmte Passwörter bei Neuregistrierungen ablehnen

  1. #1
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.755
    Contao-Projekt unterstützen

    Support Contao

    Standard Bestimmte Passwörter bei Neuregistrierungen ablehnen

    Hat schon jemand eine Lösung wie man für Neuregistrierungen bestimmte Passwörter ablehnen kann?
    Ich denke dabei an eine durch den Admin pflegbare Liste sehr häufig genutzter unsicherer Passwörter (0000, 123456, Passwort, P@sswort und weitere Perlen der Unsicherheit).

  2. #2
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Bei einem Projekt haben wir das Mini Modul im Anhang im Einsatz. Viel macht es nicht: es ist nur eine eigene Regular Expression, die einem dazu zwingt Groß- und Kleinbuchstaben so wie Sonderzeichen oder Zahlen im Passwort zu haben. Bestimmte einfache Passwörter (wie "Password!") würden dennoch funktionieren. Mehr ist daraus leider nie geworden, daher auch nie auf GitHub veröffentlicht.
    Angehängte Dateien Angehängte Dateien

  3. #3
    Administrator Avatar von xchs
    Registriert seit
    19.06.2009.
    Beiträge
    14.548
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Für Contao 3 gab es mal eine Erweiterung von Andreas, die wohl Ähnliches machte:

    https://github.com/aschempp/contao-securepasswords bzw. https://contao.org/de/erweiterungsli...swords.de.html
    Contao Community Administrator

    [Unterstützungsmöglichkeiten]

  4. #4
    Contao-Fan Avatar von Fehrmann
    Registriert seit
    04.07.2009.
    Ort
    Wismar
    Beiträge
    580
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hallo,

    ich kann mich erinnern, ein derartiges Modul mal für Contao 3 entwickelt zu haben. Ich kann am Wochenende gerne mal schauen, ob ich es noch finde und ob es vorzeigbar bzw. voll funktionsfähig ist. :-)

    Ich hatte zB auch an einen Import einer CSV gedacht.

    Ich melde mich dann hier wieder.

    Viele Grüße
    René
    Software-Entwickler Backend/Frontend

  5. #5
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    656

    Standard

    Falls sich da jemand dran setzen will, ich finde die Variante die zB Nextcloud fährt, sehr viel sinnvoller:
    Dort wird gecheckt, ob das Passwort bei "haveibeenpwned" auftaucht, und dann entsprechend abgelehnt und mit einem generierten Vorschlag ersetzt.

    Wenn schon, dann richtig.

    contao_haveibeenpwned_01.png

  6. #6
    AG Pressearbeit
    Community-Moderator
    Buchautor 'Contao für Webdesigner'
    Avatar von planepix
    Registriert seit
    05.06.2009.
    Ort
    Stuttgart
    Beiträge
    6.464
    Partner-ID
    107
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Das hatte ich gestern in den Heise News gefunden: https://www.heise.de/security/meldun...n-4298700.html

    Ob das aber so sinnig ist, wenn da wieder Google dahinter steht?
    ---------------------------------
    Beste Grüße planepix
    Contao für Webdesigner (Website), Twitter: @contaowebdesign
    weitzeldesign
    Contao-Sprechstunde
    Contao Schulungen: https://www.weitzeldesign.com/cms-co...chulungen.html
    Contao Jahrbuch: www.contao-jahrbuch.de
    Contao Agenturtag: www.contao-agenturtag.de
    Contao Stammtisch Stuttgart: www.contao-stammtisch-stuttgart.de
    Contao 4 Erfahrungen als Gitbook: https://app.gitbook.com/@planepix/s/...-mit-contao-4/
    Contao 4 & Manager Hosterhinweise: https://github.com/contao/contao-manager/wiki

    Schon wieder ein Update?
    Glücklich sind die, die den Wert erkennen – und wertschätzen.
    „Muss man machen wie beim Zahnarzt. Der bestraft einen auch mit hohen Rechnungen wenn man die Pflege vernachlässigt.”

  7. #7
    Contao-Fan Avatar von Stefko
    Registriert seit
    25.10.2012.
    Ort
    Karlsruhe
    Beiträge
    771
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von PaddySD Beitrag anzeigen
    Dort wird gecheckt, ob das Passwort bei "haveibeenpwned" auftaucht, und dann entsprechend abgelehnt und mit einem generierten Vorschlag ersetzt.
    Wenn schon, dann richtig.
    contao_haveibeenpwned_01.png
    Habe mir eben mal durchgelesen, was die da in dem Screenshot erklären, bzgl. der ersten fünf Zeichen und dem Hash.
    Was ich nicht verstehe:
    Müsste 12345-Passwort1 nicht einen komplett verschiedenen Hash als 12345_2.Passwort ergeben?

    Ansonsten fällt mir das hier noch ein
    http://3.bp.blogspot.com/-2iU9Vfv571...ort-723416.jpg
    Grüße, Stefko

  8. #8
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    656

    Standard

    Du hast den Zwischenschritt vergessen

    Passwort -> Hash -> erste fünf Stellen vom Hash an HIBP -> Liste aller Hashes die mit diesen fünf Stellen beginnen -> NC voller Hash gegen voller Hash aus Liste

    NC vergleicht nicht das Passwort mit der Liste, sondern den daraus generierten Hash. Sehr sinnvolles System, damit keine Daten irgendwo rumgeschickt werden, die man besser nicht abfragt.

    Ich hab's auch mal im Code von NC nach geschaut, dass wäre nicht so wahnsinnig schwierig umzusetzen. Ich würde mich an sowas auch dran setzen, dass Problem ist im Moment eher, dass ich mir da vermutlich umsonst Arbeit machen würde, weil solche Funktionen eigentlich in den Core gehören (meine Ansicht).

  9. #9
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.292
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von PaddySD Beitrag anzeigen
    Ich hab's auch mal im Code von NC nach geschaut, dass wäre nicht so wahnsinnig schwierig umzusetzen. Ich würde mich an sowas auch dran setzen, dass Problem ist im Moment eher, dass ich mir da vermutlich umsonst Arbeit machen würde, weil solche Funktionen eigentlich in den Core gehören (meine Ansicht).
    Hey PaddySD,
    dann schreib den Code doch für den Core und stell einen PR. Ich glaube nicht, dass da jemand etwas gegen hat.
    Heißt ja nicht, dass nur eine Hand voll Leute Code für den Core schreiben dürfen ;-)

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  10. #10
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Zitat Zitat von PaddySD Beitrag anzeigen
    Ich hab's auch mal im Code von NC nach geschaut, dass wäre nicht so wahnsinnig schwierig umzusetzen. Ich würde mich an sowas auch dran setzen, dass Problem ist im Moment eher, dass ich mir da vermutlich umsonst Arbeit machen würde, weil solche Funktionen eigentlich in den Core gehören (meine Ansicht).
    Warum Umsonst? Statt als eigene Extension kannst du das dann ja einfach als PR zur Verfügung stellen.

  11. #11
    Contao-Fan Avatar von PaddySD
    Registriert seit
    26.10.2016.
    Ort
    Andechs
    Beiträge
    656

    Standard

    Ok, ok, ist ja gut

    Sollte man sowas irgendwo bei github vorab kund tun, damit nicht noch wer dran sitzt? Ich kenne das von anderen Projekten her...

  12. #12
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    Zuerst ein Feature Request Issue machen, mit dem Hinweis, dass du planst das als PR zur Verfügung zu stellen.

  13. #13
    Contao-Fan Avatar von Fehrmann
    Registriert seit
    04.07.2009.
    Ort
    Wismar
    Beiträge
    580
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hi Zusammen,

    ich habe das mir vorliegende Modul gefunden und mal als Bundle umgearbeitet. Zu finden unter: https://github.com/OMOSde/contao-om-security

    Die Listen können für das Backend unter System » Einstellungen zugewiesen werden. Für das Frontend ist es im jeweiligen Passwortfeld zu finden.

    • es ersetzt das FormField Password und auch das Widget Password (nicht sicher ob jeweils ein separates FormField/Widget besser wäre)
    • es fehlt die Behandlung der Registrierung (ModulRegistration - nicht sicher, wie ich da sauber ran kommen ohne das gesamte Modul zu überschreiben)
    • bisher nicht sehr ausführlich getestet (feel free)
    • es tritt noch ein Speicherproblem beim Import großer CSV auf (ca. 83000 / 100.000 Passwörter gingen durch)


    Die Idee mit "https://haveibeenpwned.com" find ich gut, mal schauen.

    Viele Grüße
    René
    Software-Entwickler Backend/Frontend

  14. #14
    Contao-Urgestein Avatar von zonky
    Registriert seit
    19.03.2010.
    Ort
    Berlin, Rdf
    Beiträge
    9.682
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von Fehrmann Beitrag anzeigen
    ich habe das mir vorliegende Modul gefunden und mal als Bundle umgearbeitet. Zu finden unter: https://github.com/OMOSde/contao-om-security
    eine readme.md wäre prima

  15. #15
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.896
    Partner-ID
    10107

    Standard

    @PaddySD ist immer noch gefragt

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •