Passwörter

Quelle: XKCD Comic "Password Strength"

Der Comic von XKCD verdeutlicht das Dilemma von Passwörtern. Ein Passwort sollte

1. für den Menschen einfach zu merken sein

2. für den Computer schwer zu erraten sein

Wie ein sicheres Passwort auszusehen hat, dazu gibt es zwei vorherrschende Meinungen. Demnach erfüllt ein sicheres Passwort mindestens eines der beiden folgenden Kriterien:

- möglichst komplex: es sollte aus Zeichen aus einem sehr großem Zeichensatz bestehen (bspw. "nmEnL7m-d:[a")
- möglichst lang: der Zeichensatz spielt eine untergeordnete Rolle, Hauptsache das Passwort ist sehr lang (bspw "correcthorsebatterystaple")


Allgemeine Hinweise zum Umgang mit Passwörtern

Wichtig ist, dass ein Passwort wirklich zufällig gewählt und einzigartig ist. Ein Passwort, das einfachen Mustern folgt (wie bspw. "Tr0ub4dor&3" im Comic oben) oder persönliche Eigenschaften oder Vorlieben spiegelt (bspw. "IchfahregerneFahrrad"), kann von einem Computer sehr einfach erraten werden. Wird das Passwort zudem noch bei mehreren Diensten gleichzeitig verwendet, so finden Computer auch das sehr schnell heraus und der entstandene Schaden ist riesig.

  • Passwörter sollen zufällig gewählt sein.
  • Passwörter sollten bei Verdacht der Kenntnisnahme Dritter geändert werden. 
  • Passwörter dürfen nicht doppelt benutzt werden. Für jeden Dienst muss ein einzigartiges Passwort gewählt werden.
  • Passwörter sind privat und geheim. Sie dürfen niemals mit anderen geteilt werden.

Sicheres Passwort

An der Universität Konstanz besteht für neu vergebene Passwörter eine Mindestanforderung an Länge und Komplexität. Jedes Passwort muss folgender Richtlinie entsprechen:

  • mind. 12 Zeichen aus 4 Zeichenarten oder mind. 25 Zeichen aus mind. 2 Zeichenarten
  • Die 4 Zeichenarten sind:
    • Kleinbuchstaben
    • Großbuchstaben
    • Ziffern (0-9)
    • Sonderzeichen (aus: ! # $ ' * + , - . / : ; = ? ^ _ ` ~)
  • Verbotene Zeichen: Ä ä Ö ö Ü ü ß

Darüber hinaus wird empfohlen:

  • Keine Nummerierung oder Jahreszahl am Ende
  • Keine Wörter aus Wörterbüchern, Namen von Freunden/Familien oder Stars, kein Geburtsdatum. Simple Zeichenersetzungen (bspw. "1" für "i", "3" für "e" etc.) in Wörtern reichen nicht.
  • Keine Tastaturmuster verwenden ("qwertz", "asdf", "yaqxsw", usw).
  • Keine Wiederholungen verwenden.

Grundsätzich gilt natürlich, je länger und zufälliger die Zeichenfolgen eines Passwortes sind, desto stärker und sicherer ist das Passwort. Es spricht nichts dagegen, dass Sie lange Passwörter aufschreiben und sicher verwahren. Besser noch wird empfohlen, zur sicheren Verwaltung ein Passwort Manager einzusetzen. Außerdem sollten Sie beachten, Ihr Uni-Passwort nie für andere Dienste (Onlineshops,...) und umgekehrt zu verwenden. Geben Sie Ihr Passwort niemals weiter. Machen Sie sich immer bewusst, mit Ihrem Passwort bekommt jeder Zugriff auf alle Ihnen zugänglichen persönlichen und dienstlichen Daten, die Sie nie wieder zurückerlangen können. Verhindern Sie zukünftige Zugriffe indem Sie Ihr Passwort, bei Verdacht eines derartigen Vorfalls, schnellstmöglich ändern oder lassen Sie Ihr Benutzerkonto vom Support sperren. Achten Sie hierbei auch auf die Leitlinien zur Meldung von Sicherheitsvorfällen.

Beispiele für gute Passwörter:

  • o#UE4pse?9boe3~wvegGa)r7"4.P2Xm4
  • rBWMgRX-n+TAjH3arjBXG7yQ
  • d3E25oo.{9[Nw4yV
  • 0Add*E%>'bcG

Beispiele für schlechte Passwörter:

  •  Pa$$w0rt2018   Wort aus dem Wörterbuch mit einfachen Ersetzungen und Jahreszahl.
  •  Wur$tbr0t#1  Wort aus dem Wörterbuch mit einfachen Ersetzungen und Nummerierung.

Hinweis: Bitte verwenden Sie die oben genannten Passwörter nicht für Ihr Benutzerkonto!

Passwörter generieren und prüfen

Ein gutes und zufälliges Passwort selbst zu erstellen fällt vielen schwer.  Computer erstellen bessere Passwörter. Passwort-Generatoren sind dafür eine nützliche Hilfe.

Wichtig, ein Passwort-Generator muss vertrauenswürdig sein. Achten Sie vor allem bei online Generatoren darauf, dass die Seite keine Werbung enthält, keine Inhalte von Dritten (Google API, Google Analytics) nachläd, keine social media buttons enthält (Facebook like etc), und  TSL verschlüsselt ist (achten Sie auf das grüne Schloss neben der Adresse). Bei Smartphone Apps achten Sie auf verlangte Berechtingungen. Eine Passwort App, die Werbung einblendet und Internetzugang benötigt ist unter keinen Umständen vertrauenswürdig.

Auch Passwort-Manager bringen Generatoren mit. So können Passwörter einfach generiert und verwaltet werden.

Generatoren für komplexe Passwörter

Generatoren für Passsätze

Passsätze können einfach durch Würfeln mit Wortlisten erstellt werden. Dieses Verfahren nennt man Diceware.

Passwortqualität prüfen

Wie gut ein Passwort ist lässt sich tatsächlich nur schwer prüfen. Entscheident ist die Entropie eines Passworts. Sie ist das Maß dafür, wie viele Versuche man benötigt, um ein Passwort zu erraten. Sie sollten generell keine Online Passwortchecker nutzen und auf Internetseiten ihr Passwort eingeben. Eine Ausnahme stellt der Passwort-Dienst von haveibeenpwned dar. Dieser Dienst prüft, ob ihr Passwort auf bekannten Passwortlisten auftaucht. Die Prüfung erfolgt lokal auf Ihrem Computer, das Passwort wird nicht an den Dienst übertragen.

Passwörter merken und verwalten

Sich eine Menge an zufälligen Passwörtern zu merken stellt ein Problem dar.  Passwörter sollte man daher irgendwo sichern und verwalten. Das Abspeichern im Klartext auf dem Computer oder das Aufschreiben auf Notizzetteln ist selbstverständlich keine geeignete Lösung. Passwörter müssen stets vor Zugriff Fremder sicher gespeichert werden. Die Verwendung von Passwort-Managern, in denen Zugangsdaten verschlüsselt abgelegt werden, kann bei geeigneter Wahl und sachgerechtem Umgang eine wesentliche Erleichterung darstellen.

Sicher Authentifizieren

Wie richtig anmelden

Lassen Sie sich bei der Eingabe von Passwörtern nicht über die Schulter schauen. Achten Sie auf Ihre Umgebung.

Prüfen Sie ihren Rechner regelmäßig auf Schadsoftware. Haben Sie den Verdacht, Ihr Computer könnte manipuliert worden sein, prüfen Sie, ob evtl. sog. Keylogger angebracht wurden. Dies sind kleine Geräte, die meist zwischen Tastatur und Computer oder in einem USB Port angebracht werden, und Tastatureingaben mitschneiden.

Wo richtig anmelden

Sie sollten Ihre Zugangsdaten nur an vertrauenwürdigen Geräten eingeben, niemals an öffentlichen, nicht kontrollierbaren Systemen, wie in Internet-Cafés oder Hotel-Lobbys.

Damit Authentifizierungsinformationen bei der Eingabe oder der Übermittlung an das Zielsystem nicht abgelauscht werden können, muss auf eine sichere Übertragung geachtet werden.

Insbesondere öffentliche WLAN-Netze bergen das Risiko, dass Angreifer den Netzwerkverkehr belauschen. Angreifer könnten auch selbst erstellte WLAN-Netze verwenden, um Benutzer fehlzuleiten und deren Daten mitzuschneiden und zu manipulieren ( Man-in-the-middle-Angriff). Geben Sie Ihre Benutzerdaten daher nur in vertrauenswürdigen Netzwerkumgebungen ein.

Bei Webdiensten muss der Login stehts verschlüsselt sein. Man erkennt dies an einem geschlossenen Schloß sowie dem Präfix "https://" in der Adress-Zeile des Browsers. Achten Sie bei der Eingabe der Adresse auch auf Schreibfehler. Angreifer verwenden oft Adressen mit typischen Schreibfehlern, um Nutzer auszuspionieren (bspw. yuotube.com).

Sitzung beenden

Die besten Passwörter nützen nichts, wenn Computer unachtsam verlassen und laufende Sitzungen ungeschützt offen bleiben.

Beenden Sie nach getaner Arbeit Ihre Sitzung (logout). Wenn Sie ihren Rechner / Arbeitsplatz verlassen, sperren Sie ihn, auch, wenn es sich nur um eine kurze Abwesenheit handelt. Die Sperre sollte so eingestellt sein, dass ein Entsperren die Eingabe des Passwortes erfordert.

Manche Webseiten arbeiten mit Sitzungs-Cookies, die eine bestimmte Laufzeit haben, in der man angemeldet bleibt. Können Sie sich auf einer Webseite nicht ausloggen, so müssen Sie den Browser komplett schließen, um die Sitzung zu beenden und sich effektiv auszuloggen.

BSI Passwort Empfehlung

NIST password guideline