Ønske fra Ballerup

I dag findes der en liste med 100.000 svage kodeord, som man selv kan rette i.

Ballerup har et ønske om, at der også bliver tjekket for om passwordet findes i kendte password læk.

Eks. https://haveibeenpwned.com/Passwords https://haveibeenpwned.com/API/v3#PwnedPasswords

Løsningsbeskrivelse

I forbindelse med et kodeordsskifte laves et opslag mod API’et, hvor der anvendes denne model

• Der dannes en sha1 hash af kodeordet som der ønskes skiftet til, og der laves et opslag via API’et med de første 5 tegn fra sha1 hash’en

• Der returneres en større mængde hash-værdier fra API’et, der alle repræsenterer kodeord som er eksponeret - den fulde hashværdi beregnet lokalt matches op mod listen, og hvis der er match, afvises kodeordsskiftet med teksten “Det kodeord du har valgt findes i kendte læk af kodeord, vælg venligst et andet”

Note

Undersøg om vi på nogen måde kan lave kontroller af kodeord, fx

• længde (hvis muligt)

• om der er andre der har samme kodeord

• og om vi løbende kan lave ovenstående kontrol (kræver vi gemmer usaltet hash)

Pris

4.500 DKK