Talk

PwnedPwds2Go

Credential Stuffing zählt zu den effektivsten Angriffsformen auf IT-Systeme. Dabei nutzen Angreifer systematisch bekannte Zugangsdaten, um sich unbefugt Zugriff zu verschaffen. Um diesem Risiko entgegenzuwirken, sollten Passwörter vermieden werden, die bereits durch Data Breaches kompromittiert wurden.

Der renommierte Sicherheitsforscher Troy Hunt hat mit dem Projekt “';–have i been pwned?” eine umfassende Sammlung solcher kompromittierten Credentials aufgebaut. Mit der “Pwned Passwords”-API können Entwickler überprüfen, ob ein Passwort schon einmal geleakt wurde – und das, ohne das Passwort selbst preiszugeben.

Doch trotz der Anonymisierung der Abfragen bestehen berechtigte Bedenken gegenüber der Nutzung eines öffentlichen Dienstes für sicherheitskritische Überprüfungen. Glücklicherweise stellt das Projekt die Daten auch öffentlich zur Verfügung, sodass eigene Implementierungen möglich sind.

Hier kommt PwnedPwds2Go ins Spiel – eine einfache und effiziente Implementierung in Go, die in diesem Vortrag vorgestellt wird.

Date
2024-06-10
Time
18:00 - 21:00
Conference / Event
Go Usergroup Rhein-Ruhr
Venue
INNOQ Office, Köln

TAGS