Mein sicheres Passwort: Unterschied zwischen den Versionen

Aus BIS Wiki
bisinfo>ihbrune
 
(33 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Alle Mitarbeiterinnen und Mitarbeiter der Universität Bielefeld können ein [[Zugang zum BIS für Mitarbeiterinnen und Mitarbeiter|BIS Login erhalten]] und so das Diensteangebot des BIS nutzen. Der erste Schritt nach der Einrichtung besteht dabei in der Wahl eines sicheren Passwortes. Darum geht es in dieser Seite. Eng verbunden ist dabei das Thema der [[Nutzung der Zwei-Faktor-Authentifizierung im BIS|Zwei-Faktor-Authentifizierung]], mit der Sie die Sicherheit Ihres BIS Logins noch weiter steigern können.
[[Category:Sicherheit]]
[[My secure password|ENGLISH VERSION]]


== Wo kann ich mein BIS Passwort ändern ==
Sichere Passwörter sind wichtig, um Ihre wertvollen Daten und Konten vor unbefugtem Zugriff zu schützen. Insbesondere als Mitarbeitende sind Sie auch für den Schutz der Ihnen zugänglichen Informationen zu Kolleg*innen oder Studierenden verantwortlich und die Wahl eines sicheren Passworts ist hier die Grundlage.


Auf dieser Seite:
== Bewährte Tipps und Methoden ==


:https://ekvv.uni-bielefeld.de/pers_edit/edit/MeinPasswort.jsp
* Längere Passwörter sind schwieriger zu knacken. Ein gutes Passwort sollte mindestens 12 Zeichen haben und aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.
* Für jedes Konto sollte ein einzigartiges Passwort genutzt werden, um Angriffe durch Wiederverwendung von verlorengegangenen Passworten zu vermeiden.
* Auch eine Passwortweitergabe unter Kolleginnen und Kollegen oder an Kommiliton*innen darf nie erfolgen.
* Tabu ist die Verwendung von leicht zu erratenden Informationen wie Namen, persönliche Informationen, Geburtsdaten oder gängigen Wörter aus dem Wörterbuch.
* Wo immer möglich sollte eine {{2FA|Zwei-Faktor-Authentifizierung (2FA)}} genutzt werden. Diese zusätzliche Sicherheitsschicht fragt neben dem Passwort eine weitere Information ab wie z. B.  einen Code, der vom Smartphone oder einem speziellen Gerät (Token) erzeugt wird.
* Ein Master-Passwort für alles: Ein Passwortmanager kann dabei helfen, Passwörter sicher zu erstellen und zu speichern. Dazu sollte ein separater Anbieter wie beispielsweise KeePass oder Bitwarden verwendet werden. Passwortmanager die direkt im Browser integriert sind, sind nicht empfehlenswert.
* Besteht der Verdacht, dass ein Zugang gehackt worden ist, muss das Passwort umgehend geändert werden. Zu diesem Thema finden sich unten ein eigener Abschnitt.
* Dienste wie "[https://haveibeenpwned.com/ Have I Been Pwned]" können dabei unterstützen regelmäßig zu prüfen, ob eigene Zugangsdaten Teil von Datenlecks geworden sind. Findet die Prüfung einen Treffer, sollte das Passwort umgehend geändert werden. Die [https://login.uni-bielefeld.de/kv/password Seite zur Passwortänderung] macht diese Prüfung automatisch, [https://login.uni-bielefeld.de/kv/pwtest die Passworttestseite] ebenfalls.


Hier erhalten Sie auch Informationen über die möglichen Passwortlängen und dazu wie alt Ihr Passwort ist. Falls Sie Ihr Passwort vergessen haben wenden Sie sich bitte {{BISKontakt|direkt an uns}}.
== Tipps um sich Passwörter einfach zu merken ==


== Warum ist ein sicheres Passwort so wichtig ==
=== '''Zeichentypen kombinieren''' ===
Es wird empfohlen, ein ausreichend langes Wort zu verwenden und einzelne Buchstaben intelligent durch Zahlen und Sonderzeichen zu ersetzen. Dies könnte zum Beispiel so aussehen: "R0s1n3nbrotb@um". Wichtig ist dabei, sicherzustellen, dass das Wort Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthält. Welche Zeichen verwendet werden können wird direkt in der [https://login.uni-bielefeld.de/kv/password Seite zur Passwortänderung] gezeigt und auch in [https://login.uni-bielefeld.de/kv/pwtest der Passworttestseite].


Alle Dienste des BIS sind Webanwendungen, auf die in den meisten Fällen weltweit zugegriffen werden kann. Damit Sie auf das System zugreifen können und damit das System Sie erkennt und Ihnen die notwendigen Zugriffsrechte geben kann müssen Sie sich mit Ihrem Benutzernamen und Ihrem Passwort ausweisen.
=== „Mnemonik“-Techniken nutzen ===
Einen Satz bzw. eine kurze Geschichte verwenden, um Passwörter besser im Gedächtnis zu verankern. Dabei wird die erste Stelle jedes Wortes aus dem Satz verwendet.


Die Benutzernamen sind dabei nicht wirklich geheim und lassen sich meist einfach aus dem Namen erraten. '''Das einzig wirklich Geheime an Ihrem Zugang ist damit Ihr BIS Passwort.'''
Beispiel-Satz: "Meine Katze heißt Luna und ist seit gestern 3 Jahre alt!"


Kennt jemand Ihr Passwort, so kann er/sie sich in Ihrem Namen an den BIS Diensten anmelden und alles tun, was Sie selbst tun können. Umgekehrt werden Bearbeitungen von wichtigen Daten wie Prüfungsleistungen mit dem jeweiligen Benutzer verknüpft. Für illegitime Arbeiten im System mit einem entwendeten Passwort werden also zunächst die betroffenen Benutzer verantwortlich gemacht.
Passwort: "MKhLuisg3Ja!"


Denken Sie auch daran, dass Sie ggf. mit Ihrem BIS Passwort '''für den Schutz sensibler Daten z. B. der Studierenden verantwortlich''' sind. So könnte ein Angreifer mit Ihrem Zugang als Lehrende/Lehrender die Prüfungsleistungen einsehen, die Sie in Ihren Veranstaltungen dokumentiert haben. Dies darf aus Datenschutzgründen nicht passieren.
=== Passphrasen verwenden: ===
Eine Passphrase wird als eine Abfolge von zufälligen Wörtern beschrieben, die leicht zu merken, aber schwer zu erraten ist.


Es ist daher sehr wichtig und auch in Ihrem eigenen Interesse, wenn Sie ein BIS Passwort verwenden, das sicher ist und bei dem das Risiko eines Abhandenkommens gering ist. Auch '''eine Passwortweitergabe unter Kolleginnen und Kollegen darf nie erfolgen'''. Da jede Mitarbeiterin und jeder Mitarbeiter einen eigenen BIS Zugang mit den benötigten Berechtigungen erhalten kann gibt es dafür auch keine Notwendigkeit.
Beispiel: "Taube Socke Hammer Pflanze 3"
 
== Wie sieht ein sicheres Passwort aus ==


Ein sicheres Passwort kann von einem potentiellen Angreifer nicht einfach erraten werden, selbst wenn er viel über Sie weiß<ref>Im Zeitalter von Facebook kann ein Angreifer ggf. sehr viel über Sie erfahren, ohne Sie jemals getroffen zu haben.</ref> und viel Zeit hat um Hunderte oder Tausende von Passworten auszuprobieren.
Um sich die zufälligen Wörter besser zu merken, kann man sich ein bewegtes Bild ausmalen: Die '''Taube''' fliegt mit der '''Socke''' (über dem Kopf) wie ein '''Hammer''' in die '''Pflanze'''. Da Passphrasen nur wenige Zeichentypen enthalten sollten sie mindestens 20 Zeichen lang sein. Auch hier müssen Groß- und Kleinbuchstaben und eine Ziffer vorkommen.


Das BSI<ref>BSI ist die Abkürzung des Bundesamtes für Sicherheit in der Informationstechnik</ref> gibt in seiner [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html Seite zur Passwortsicherheit] diese Hinweise zur Zusammensetzung eines sicheren Passworts:
Bei weitergehenden Fragen kann die [https://ekvv.uni-bielefeld.de/pers_publ/publ/FunktionssucheAnzeige.jsp?einrArtId=12584082 EDV-Betreuung der Fakultät und Einrichtung] angesprochen werden.


* Es sollte '''mindestens zwölf Zeichen lang''' sein.
== Wo kann ich mein Passwort ändern ==
* Es sollte aus '''Groß- und Kleinbuchstaben''' sowie '''Sonderzeichen und Ziffern (?!%+…)''' bestehen.
* Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw.
* Wenn möglich sollte es nicht in Wörterbüchern vorkommen.
* Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht ''asdfgh'' oder ''1234abcd'' usw.
* Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.


== Tipps zur Erzeugung von und zur Handhabung von sicheren Passworten ==
Auf dieser Seite:
 
Aus der vorherigen Beschreibung wird klar: Ein sicheres Passwort ist nicht so einfach zu wählen und zu merken. In der BSI Seite findet man Hinweise auf mögliche Eselsbrücken und Werkzeuge wie Passwortmanager, die es einem möglich machen in sicherer Weise viele komplizierte Passworte zu handhaben.
 
Passwortmanager haben meist auch eine Funktion um zufällige Passworte zu erzeugen, die sehr sicher sind, aber auf der anderen Seite ohne Passwortmanager auch kaum nutzbar.


Eine Technik, um auch ohne Passwortmanager lange und damit sicherere Passworte zu verwenden, kann so aussehen:
:https://login.uni-bielefeld.de/kv/password


# Man denkt sich zuerst ein 'Kernpasswort' aus. Dies sollte schon eine gewisse Mindestlänge haben, z. B. 8 Zeichen, und die zuvor genannten Kriterien erfüllen.
Beim Setzen eines neuen Passworts wird geprüft, ob es den Anforderungen in den [https://www.uni-bielefeld.de/verwaltung/informationssicherheit/regelungen/Basischutzregelungen_Informationssicherheit_Beschaftigte.pdf Basisschutzregelungen Informationssicherheit der Universität]  genügt (Mindestlänge 12 Zeichen). Zugleich erfolgt eine Prüfung gegen eine Liste von gestohlenen Passworten auf Basis der Liste des "[https://blogs.uni-bielefeld.de/blog/bisnews/entry/mein-passwort-stand-auf-der#mainSection have I been pwned]" Dienstes. Ein Passwort, welches sich auf dieser Liste befindet, kann ebenfalls nicht verwendet werden.
# Für jeden Dienst, der ein Passwort erfordert, ergänzt man das Kernpasswort am Anfang und am Ende um einfach zu merkende Bestandteile, die für sich genommen nicht so kompliziert sein müssen.


Bei dieser Technik muss man sich nur das Kernpasswort merken und pro Dienst die Zeichen, die man ergänzt hat.
Wenn Sie vor dem Setzen eines neuen Passworts dieses zuerst auf Zulässigkeit testen wollen, dann können Sie die Passworttestseite verwenden:


Eine andere Lösung kann es sein sich mindestens vier 'normale' Worte auszusuchen, die man dann zu einem sehr langen Passwort (mehr als 20 Zeichen) zusammenfügt und durch flexible Groß- und Kleinschreibung komplexer macht. Diese Technik wird in diesen beiden (englischen) Quellen beschrieben: [http://xkcd.com/936/ XKCD Comic 'Password Strength'] und [http://itservices.stanford.edu/service/accounts/passwords Passwort Regeln der Standford University]
:https://login.uni-bielefeld.de/kv/pwtest
== Wie schütze ich mein BIS Passwort ==


Leider kann auch das beste Passwort abhanden kommen bzw. missbraucht werden, wenn der Umgang mit dem Passwort nicht sorgfältig ist. Auch hier gibt es einige Tipps des BSI:
* '''Passwörter regelmäßig ändern:''' Je länger ein Passwort verwendet wird, desto größer wird das Risiko, dass es abhanden kommt. Durch die regelmäßige Änderung - z. B. jedes halbe Jahr - wird auch der Schaden begrenzt, den ein Angreifer mit einem einmal gestohlenen Passwort anrichten kann.
* '''Passwörter nicht mehrfach verwenden:''' Leider kommt es heute fast jede Woche vor, dass irgendein Internetdienst eingestehen muss, dass Angreifer die Daten seiner Benutzer gestohlen haben. Oft werden dabei auch gleich die Passwörter mit entwendet. Wenn man nun in allen genutzten Diensten das gleiche Passwort verwendet, dann haben die Angreifer gleich auch auf alle anderen Dienste Zugriff. Das BIS Passwort sollte daher in keinem Fall bei Diensten außerhalb der Hochschule genutzt werden, im besten Fall einzigartig sein.
* '''Voreingestellte Passwörter ändern:''' Wenn Ihr BIS Account angelegt wird oder falls Sie Ihr Passwort vergessen haben und {{BISKontakt|wir}} es zurücksetzen ist Ihr Zugang zunächst mit einem Startpasswort geschützt, welches Ihnen zur Verfügung gestellt wird. Dieses Passwort sollten Sie sofort in ein individuelles Passwort ändern. Die Seite zur Passwortänderung zeigt Ihnen in diesem Fall auch einen entsprechenden Warnhinweis an, der nach der Änderung des Passworts verschwindet.
* '''Bildschirmschoner mit Kennwort sichern:''' Viele Webbrowser können heute Passworte speichern und so den Zugriff auf verschiedene Dienste bequemer und die Verwendung komplizierter, sicherer Passwörter einfacher machen. Der Nachteil dieser Funktionen ist es, dass jede Person mit Zugang zu Ihrem Rechner - sei es in der Universität oder auch Privat - dann ohne Ihr Passwort zu kennen auf die entsprechenden Dienste zugreifen kann. Ist Ihr Rechner hingegen mit einem sich automatisch einschaltenden Bildschirmschoner geschützt, der zur Freigabe des Rechners ein Passwort abfragt, ist dieser Weg für einen Angreifer versperrt.
Wenn Sie zusätzlich die [[Nutzung der Zwei-Faktor-Authentifizierung im BIS|Zwei-Faktor-Authentifizierung]] nutzen ist der Diebstahl Ihres Passworts für einen Angreifer nicht genug um Ihr Konto zu übernehmen. Hier gewinnen Sie erheblich an Sicherheit.
== Wie kann ich erkennen, ob mein Passwort gestohlen wurde oder ob jemand versucht es zu stehlen? ==
== Wie kann ich erkennen, ob mein Passwort gestohlen wurde oder ob jemand versucht es zu stehlen? ==


Mit der [http://ekvv.uni-bielefeld.de/blog/bisnews/entry/ein_neues_anmeldeformular_f%C3%BCr_mitarbeiterinnen Umstellung der BIS Anmeldung] Ende Juli 2014 wurde eine neue Seite verfügbar gemacht, die unter dem Namen 'Mein Account' im Personen- und Einrichtungsverzeichnis aufgerufen werden kann:
In der Seite 'Mein Account' kann die eigene Loginhistorie abgerufen werden:
 
:https://ekvv.uni-bielefeld.de/pers_edit/edit/MeinAccount.jsp
 
In dieser Seite werden die letzten sieben Tage angezeigt, an denen Logins oder Loginversuche über die neue Anmeldeseite mit Ihrem BIS Zugang vorgekommen sind. Entsprechende Seiten findet man heute in vielen großen Onlinediensten, ihr Zweck ist es, Sie selbst in die Lage zu versetzen, eventuelle Passwortdiebstähle oder Versuche Ihr Passwort zu stehlen erkennen zu können. Wie funktioniert das?


Falls jemand versucht Ihr Passwort zu stehlen und dazu viele Passworte durchprobiert, so würden Sie in dieser Seite eine große Zahl von fehlerhaften Loginversuchen sehen.  
:https://login.uni-bielefeld.de/kv/


Wenn ein Passwortdiebstahl bereits erfolgt ist und Ihr BIS Zugang missbräuchlich verwendet wird, würden Sie in der Seite Logins zu Zeitpunkten sehen, die Sie sich nicht durch Ihre eigenen Arbeiten in den BIS Anwendungen erklären können.
In dieser Seite werden die letzten sieben Tage angezeigt, an denen Logins oder Loginversuche über die Anmeldeseite mit Ihrem Zugang vorgekommen sind. [[Mein Account|Weitere Hinweise zum Vorgehen finden Sie hier]].


In beiden Fällen ist es ratsam sofort ein anderes Passwort zu verwenden, welches noch sicherer / länger ist als das vorherige, und sich danach direkt {{BISKontakt|an uns}} zu wenden.
Hinweis: Logins über andere Anmeldemasken werden hier nicht dokumentiert.  


== Nutzung der Zwei-Faktor-Authentifizierung ==
== Nutzung der Zwei-Faktor-Authentifizierung ==


Ein wirksames Mittel um die Sicherheit des eigenen BIS Zugangs zu erhöhen ist die [[Nutzung der Zwei-Faktor-Authentifizierung im BIS|Nutzung der Zwei-Faktor-Authentifizierung]].
Ein wirksames Mittel um die Sicherheit des eigenen Zugangs zu erhöhen ist die {{2FA|Nutzung der Zwei-Faktor-Authentifizierung}}, die sich in wenigen Schritten aktivieren lässt.
== Fußnoten ==
<references />

Aktuelle Version vom 29. August 2024, 06:39 Uhr

ENGLISH VERSION

Sichere Passwörter sind wichtig, um Ihre wertvollen Daten und Konten vor unbefugtem Zugriff zu schützen. Insbesondere als Mitarbeitende sind Sie auch für den Schutz der Ihnen zugänglichen Informationen zu Kolleg*innen oder Studierenden verantwortlich und die Wahl eines sicheren Passworts ist hier die Grundlage.

Bewährte Tipps und Methoden

  • Längere Passwörter sind schwieriger zu knacken. Ein gutes Passwort sollte mindestens 12 Zeichen haben und aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.
  • Für jedes Konto sollte ein einzigartiges Passwort genutzt werden, um Angriffe durch Wiederverwendung von verlorengegangenen Passworten zu vermeiden.
  • Auch eine Passwortweitergabe unter Kolleginnen und Kollegen oder an Kommiliton*innen darf nie erfolgen.
  • Tabu ist die Verwendung von leicht zu erratenden Informationen wie Namen, persönliche Informationen, Geburtsdaten oder gängigen Wörter aus dem Wörterbuch.
  • Wo immer möglich sollte eine Zwei-Faktor-Authentifizierung (2FA) genutzt werden. Diese zusätzliche Sicherheitsschicht fragt neben dem Passwort eine weitere Information ab wie z. B.  einen Code, der vom Smartphone oder einem speziellen Gerät (Token) erzeugt wird.
  • Ein Master-Passwort für alles: Ein Passwortmanager kann dabei helfen, Passwörter sicher zu erstellen und zu speichern. Dazu sollte ein separater Anbieter wie beispielsweise KeePass oder Bitwarden verwendet werden. Passwortmanager die direkt im Browser integriert sind, sind nicht empfehlenswert.
  • Besteht der Verdacht, dass ein Zugang gehackt worden ist, muss das Passwort umgehend geändert werden. Zu diesem Thema finden sich unten ein eigener Abschnitt.
  • Dienste wie "Have I Been Pwned" können dabei unterstützen regelmäßig zu prüfen, ob eigene Zugangsdaten Teil von Datenlecks geworden sind. Findet die Prüfung einen Treffer, sollte das Passwort umgehend geändert werden. Die Seite zur Passwortänderung macht diese Prüfung automatisch, die Passworttestseite ebenfalls.

Tipps um sich Passwörter einfach zu merken

Zeichentypen kombinieren

Es wird empfohlen, ein ausreichend langes Wort zu verwenden und einzelne Buchstaben intelligent durch Zahlen und Sonderzeichen zu ersetzen. Dies könnte zum Beispiel so aussehen: "R0s1n3nbrotb@um". Wichtig ist dabei, sicherzustellen, dass das Wort Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthält. Welche Zeichen verwendet werden können wird direkt in der Seite zur Passwortänderung gezeigt und auch in der Passworttestseite.

„Mnemonik“-Techniken nutzen

Einen Satz bzw. eine kurze Geschichte verwenden, um Passwörter besser im Gedächtnis zu verankern. Dabei wird die erste Stelle jedes Wortes aus dem Satz verwendet.

Beispiel-Satz: "Meine Katze heißt Luna und ist seit gestern 3 Jahre alt!"

Passwort: "MKhLuisg3Ja!"

Passphrasen verwenden:

Eine Passphrase wird als eine Abfolge von zufälligen Wörtern beschrieben, die leicht zu merken, aber schwer zu erraten ist.

Beispiel: "Taube Socke Hammer Pflanze 3"

Um sich die zufälligen Wörter besser zu merken, kann man sich ein bewegtes Bild ausmalen: Die Taube fliegt mit der Socke (über dem Kopf) wie ein Hammer in die Pflanze. Da Passphrasen nur wenige Zeichentypen enthalten sollten sie mindestens 20 Zeichen lang sein. Auch hier müssen Groß- und Kleinbuchstaben und eine Ziffer vorkommen.

Bei weitergehenden Fragen kann die EDV-Betreuung der Fakultät und Einrichtung angesprochen werden.

Wo kann ich mein Passwort ändern

Auf dieser Seite:

https://login.uni-bielefeld.de/kv/password

Beim Setzen eines neuen Passworts wird geprüft, ob es den Anforderungen in den Basisschutzregelungen Informationssicherheit der Universität genügt (Mindestlänge 12 Zeichen). Zugleich erfolgt eine Prüfung gegen eine Liste von gestohlenen Passworten auf Basis der Liste des "have I been pwned" Dienstes. Ein Passwort, welches sich auf dieser Liste befindet, kann ebenfalls nicht verwendet werden.

Wenn Sie vor dem Setzen eines neuen Passworts dieses zuerst auf Zulässigkeit testen wollen, dann können Sie die Passworttestseite verwenden:

https://login.uni-bielefeld.de/kv/pwtest

Wie kann ich erkennen, ob mein Passwort gestohlen wurde oder ob jemand versucht es zu stehlen?

In der Seite 'Mein Account' kann die eigene Loginhistorie abgerufen werden:

https://login.uni-bielefeld.de/kv/

In dieser Seite werden die letzten sieben Tage angezeigt, an denen Logins oder Loginversuche über die Anmeldeseite mit Ihrem Zugang vorgekommen sind. Weitere Hinweise zum Vorgehen finden Sie hier.

Hinweis: Logins über andere Anmeldemasken werden hier nicht dokumentiert.

Nutzung der Zwei-Faktor-Authentifizierung

Ein wirksames Mittel um die Sicherheit des eigenen Zugangs zu erhöhen ist die Nutzung der Zwei-Faktor-Authentifizierung, die sich in wenigen Schritten aktivieren lässt.