Sicherer Umgang mit Passwörtern

Einleitung

Ihr Passwort schützt Ihren Zugang zu IT-Dienstleistungen des ZID. Nur ein geeignetes Passwort schützt davor, dass Ihr Account von anderen missbraucht wird. Für Aktionen, die von Ihrer Benutzerkennung aus gesetzt werden, wird man in erster Linie Sie verantwortlich machen, auch wenn jemand anderer Ihre Zugangsdaten missbraucht hat. Stellen Sie es sich wie den Code Ihrer Bankomatkarte vor. Den würden Sie auch nicht einfach weitergeben, oder?

Dieser Text beschreibt die gängigsten Maßnahmen, die Sie zum Schutz Ihres Passwortes treffen sollten.

Wahl eines geeigneten Passwortes

Sie erhalten vom ZID für alle Dienste ein Anfangspasswort. Sie sollten dieses so schnell wie möglich durch ein geeignetes eigenes Passwort ersetzen.

Was ist nun ein gutes Passwort? Am besten lässt sich das erklären, indem wir Beispiele liefern, was kein gutes Passwort ist.

Kein gutes Passwort ist ...

  • das in einem Wörterbuch steht, auch wenn Sie die GROSS-und kleinschreibung ändern oder eine Zahl anhängen99,
  • das weniger als 8 Zeichen hat,
  • das nur aus Buchstaben besteht und nicht zumindest eine Zahl oder anderes Zeichen enthält,
  • das identisch mit Ihrer Benutzerkennung ist,
  • das einen direkten Bezug Ihrer Person beinhaltet, zum Beispiel die Straße, in der Sie wohnen, den Mädchennamen Ihrer Mutter, Ihre Sozialversicherungsnummer oder den Namen Ihres Haustiers oder Ihrer Lieblingsband,
  • das Sie nicht möglichst schnell eingeben können,
  • das Sie sich nicht gut merken können, sodass Sie eben beim Eingeben langsam sind oder ständig auf einem Zettel nachsehen müssen (den Sie dann sicher irgendwann einmal verlieren) und
  • das in einem Text über sichere Passwörter als Beispiel verwendet wird.

Sie werden sich vielleicht fragen, was dann noch an guten guten Passwörtern übrig bleiben, wenn es niemand erraten soll, Sie es sich aber leicht merken können sollen? Eine einfache Methode ist, sich einen Satz auszudenken und aus diesem dann das Passwort zu konstruieren. Ein einfaches Beispiel dafür ist der Satz
"Das ist ein sicheres Passwort, oder?"
(Man beachte das tirolerische "oder", das den Satz für Nicht-Tiroler unverständlich macht ;-)) Daraus ergibt sich folgendes Passwort:
Di1sPw,o?
Das Passwort wird noch sicherer, wenn Sie die Groß- und Kleinschreibung ändern oder von einem Wort mehr Buchstaben nehmen (ohne dass es dadurch für Sie schwierig zu merken wird), zum Beispiel:
DiesPW,o?

Aufbewahrung des Passwortes

Im Idealfall wählen Sie ein Passwort, das Sie sich merken können und nicht aufschreiben müssen. Wenn Sie unsicher sind, ob Sie sich das Passwort merken können, notieren Sie es, aber bewahren Sie es so auf, dass es für niemand anderen zugänglich ist. Ein häufiger Fehler ist, dass das Passwort auf einem Zettel notiert ist, der sich am Computer oder am Monitor oder unter der Tastatur befindet. Hilfreich mit dem sicheren Umgang von Passwörtern sind sogenannte Passwort-Safes!

Moderne Browser beinhalten mittlerweile die Möglichkeit Zugangsinformationen zu Webseiten zu speichern. Sie sollten beachten, dass Sie ein Master-Passwort für den Browser-Passwort-Safe vergeben.

Ein weiteres Hilfreichs Tool ist der Keepass 2 Password-Safe: Keepass Password-Safe

Setzen des Passwortes

Beachten Sie, dass die Passwörter für die meisten Dienste des ZID von einander unabhängig sind. Wenn Sie ein Passwort ändern, wirkt sich das nicht auf die anderen Passwörter aus. Ändern Sie das Passwort daher an allen notwendigen Stellen.

Eine Anleitung zum Ändern der Passwörter (und Vieles mehr) finden Sie unter: http://www.uibk.ac.at/zid/faq/passwort.html

Administratorpasswort

Beachten Sie, dass an Ihrem PC auch einen Benutzer "Administrator" bzw. "root" gibt. Auch für diesen ist ein sicheres Passwort zu wählen.

Sollte Ihr PC vom ZID aufgesetzt worden sein, erfahren Sie das Administratorpasswort bei der Übergabe des PCs. Sie sollten dieses umgehend ändern, da es ein generisches Passwort ist, das für alle ausgelieferten PCs verwendet wird.

Eingabe des Passwortes

Achten Sie darauf, dass Ihnen niemand zusieht, wenn Sie Ihr Passwort eingeben.

Wenn mehrere Personen an einem Rechner sitzen, gehört es zum guten Ton, demonstrativ wegzusehen, wenn jemand ein Passwort eingibt.

Weitergabe der Benutzerkennung

Am Beginn wurden schon Gründe erwähnt, wieso Sie Ihr Passwort nicht weitergeben sollten. Deswegen und wegen einer Reihe anderer Gründe ist es entsprechend den Regelungen des ZID auch untersagt, die Benutzerkennung und das Passwort weiterzugeben. Ebenso ist die Verwendung fremder Benutzerkennungen untersagt.

Der ZID und Ihr Passwort

Am ZID ist Ihr Anfangspasswort bekannt. Sobald Sie das Passwort ändern, können wir dieses auch nicht mehr abfragen. Auch wenn Sie davon ausgehen können, dass Sie uns vertrauen dürfen (was wir guten Gewissens bejahen können) - Sie sollten Ihr Passwort dennoch ändern.

Die Mitarbeiter des ZID werden Sie normalerweise nie nach Ihrem Passwort fragen. Sollte dies aus irgendwelchen Gründen dennoch notwenig sein, sollten Sie nach dem Namen des Mitarbeiters fragen und diesen unter seiner Telefonnummer zurückrufen. Das ist kein Zeichen von Misstrauen sondern eine notwendige Sicherheitsmaßnahme, damit sich niemand Außenstehender als ZID-Mitarbeiter ausgibt.

Es kann in seltenen Fällen zu Situationen kommen, in denen der ZID-Mitarbeiter für die Nachvollziehung eines Problems Ihr Passwort benötigt. In diesen Fällen werden Sie aber aufgefordert, unmittelbar danach das Passwort zu ändern.

Wenn Sie Ihr Passwort für Dienste des ZID vergessen haben, können Sie es auf Ihr Anfangspasswort zurücksetzen lassen. Wissen Sie Ihr Anfangspasswort nicht mehr, so können Sie es beim Benutzerservice an einem der ZID-Standorte erfragen. Nehmen Sie dazu bitte die Studentcard bzw. einen gültigen Lichbildausweis (Universitätsbedienstete) mit.

Web-Passwörter

Heutzutage gibt es viele Web-Services, für die Sie einen Account benötigen.
Für diese Web-Dienste sollten Sie auf jeden Fall ein anderes Passwort als für die Dienste des ZID verwenden: Dieses Passwort wird über unbekannte und damit potentiell nicht vertrauenswürdige Netzwerke übertragen. Nach Möglichkeit sollten Sie für jeden dieser Dienste ein eigenes Passwort verwenden.

Alle seriösen Anbieter von Diensten bieten heute die Möglichkeit, das Passwort über eine sichere HTTP Verbindung einzugeben, bei der der Verkehr zwischen Ihrem Browser und dem Webserver verschlüsselt übertragen wird. Sie erkennen das daran, dass die Adresse mit "https" statt "http" beginnt.

Moderne Bowser bieten auch die Möglichkeit, die Passwörter für Sie zu speichern, sodass Sie sich diese nicht mehr merken müssen. Die Passwörter werden aber nun unter Ihrem Account im Browserprofil gespeichert. Wenn jemand Zugriff auf Ihren Account erlangt, ist es für Ihn ein Leichtes, diese Passwörter zu erfahren. Deshalb sollten Sie, wenn Sie diese Funktion des Web-Browsers verwenden, besonders auf die Sicherheit Ihres Accounts achten und ein Master-Passwort für den Browser-Passwort-Safe vergeben.