Wenn Sie sich nach dem Update auf die SchulCommSy-Version 10 das erste Mal anmelden, müssen Sie Ihr Passwort aktualisieren. Dies ist erforderlich, da die Speicherung der Passwörter zukünftig auf der Basis eines neuen, sichereren Systems erfolgt. Wenn Sie Ihr neues Passwort festlegen, kann es sein, dass Sie die Meldung erhalten
„Dieses Passwort ist Teil eines Datenlecks, es darf nicht verwendet werden.“
Die Meldung sagt, dass das von Ihnen eingegebene Passwort schon einmal Teil eines Datenlecks war. Das kann zu Beispiel passieren, wenn Sie in der Vergangenheit Daten bei einem Anbieter hinterlassen haben und diese versehentlich oder infolge eines kriminellen Angriffs öffentlich geworden sind. Sie können jederzeit selbst prüfen, ob Ihre Daten bereits betroffen waren. Dazu gibt es im Internet verschiedene Angebote, die darüber informieren. In der Regel geben Sie dort Ihre E-Mail-Adresse ein und erhalten im Anschluss Auskunft darüber, ob Ihre Daten Teil eines Datenlecks waren und um welches Datenleck es sich handelt. Deutschsprachige Angebote finden Sie z.B. auf den Seiten https://www.experte.de/email-check oder https://sec.hpi.de/ilc/. Hier werden Ihnen auch weitere Erläuterungen sowie Tipps gegeben, was Sie gegebenenfalls tun können und sollten.
Die neue Passwortprüfung von SchulCommSy 10 automatisiert diese Abfrage und lässt die Nutzung von Passwörtern, die in der Vergangenheit Teil eines Datenlecks waren, nicht zu. Sie müssen in diesem Fall ein anderes Passwort wählen. Durch diese Maßnahme erhöhen wir die Sicherheit des Systems und schützen unsere und Ihre Daten damit besser.
Zum Schluss noch eine technische Information zum Prüfvorgang. Für die Prüfung verwenden wir den öffentlichen Dienst von https://haveibeenpwned.com/. Wichtig ist, dass wir das neue Passwort der Nutzerin oder des Nutzers nicht im Klartext zur Prüfung übertragen. Das Passwort wird in einen SHA-1 Hash kodiert und von diesem werden dann die ersten 5 Zeichen übertragen. Der Server meldet daraufhin Daten zurück, die lokal im Browser geprüft werden. Dieses Verfahren ist bekannt als „k-anonymity password validation“ (k-Anonymität). Weitergehende technische Informationen finden Sie hier: https://haveibeenpwned.com/API/v2#PwnedPasswords.