Mein sicheres Passwort
Achtung: Die Loginverfahren im BIS erfahren ab Juli 2024 verschiedene Änderungen! Den aktuellen Status finden Sie in dieser Seite
Der erste Schritt bei der Einrichtung eines sicheren Anmeldung an den System der Universität besteht in der Wahl eines guten Passwortes. Darum geht es in dieser Seite. Eng verbunden ist dabei das Thema der Zwei-Faktor-Authentifizierung, mit der Sie die Sicherheit Ihres Logins noch weiter steigern können.
Wo kann ich mein Passwort ändern
Auf dieser Seite:
Hier erhalten Sie auch Informationen über die möglichen Passwortlängen und Zeichen. Falls Sie Ihr Passwort vergessen finden Sie in der Loginseite einen Link zur Anforderung eines neuen Passworts.
Warum ist ein sicheres Passwort so wichtig
Viele Dienste der Universität sind Webanwendungen, auf die in den meisten Fällen weltweit zugegriffen werden kann. Damit Sie auf das Anmeldesystem zugreifen können und damit das System Sie erkennt und Ihnen die notwendigen Zugriffsrechte geben kann müssen Sie sich mit Ihrem Loginnamen und Ihrem Passwort ausweisen.
Die Loginnamen sind dabei nicht wirklich geheim und lassen sich meist einfach aus dem Namen erraten. Das einzig wirklich Geheime an Ihrem Zugang ist damit Ihr Passwort.
Kennt jemand Ihr Passwort, so kann er/sie sich in Ihrem Namen an allen Diensten anmelden und alles tun, was Sie selbst tun können. Umgekehrt werden Bearbeitungen von wichtigen Daten wie zum Beispiel Prüfungsleistungen mit dem jeweiligen Loginnamen verknüpft. Für illegitime Arbeiten im System mit einem entwendeten Passwort werden also zunächst die betroffenen Nutzer*innen verantwortlich gemacht.
Denken Sie auch daran, dass Sie ggf. mit Ihrem Passwort für den Schutz sensibler Daten z. B. der Studierenden verantwortlich sind. So könnte ein Angreifer mit Ihrem Zugang als Lehrende/Lehrender die Prüfungsleistungen einsehen, die Sie in Ihren Veranstaltungen dokumentiert haben. Dies darf aus Datenschutzgründen nicht passieren.
Es ist daher sehr wichtig und auch in Ihrem eigenen Interesse, wenn Sie ein Passwort verwenden, das sicher ist und bei dem das Risiko eines Abhandenkommens gering ist. Auch eine Passwortweitergabe unter Kolleginnen und Kollegen oder an Kommiliton*innen darf nie erfolgen. Da jede*r einen Zugang mit den benötigten Berechtigungen erhalten kann gibt es dafür auch keine Notwendigkeit. Die Nutzung der Zwei-Faktor-Authentifizierung bietet eine einfache Möglichkeit die Sicherheit der eigenen Anmeldung noch einmal deutlich zu verbessern.
Wie sieht ein sicheres Passwort aus
Ein sicheres Passwort kann von einem potentiellen Angreifer nicht einfach erraten werden, selbst wenn er viel über Sie weiß[1] und viel Zeit hat um Hunderte oder Tausende von Passworten auszuprobieren.
Das BSI[2] gibt in dieser Seite diese Hinweise zur Zusammensetzung eines sicheren Passworts:
- Es sollte mindestens zwölf Zeichen lang sein. Die Mindestlänge von 12 Zeichen wird auch durch Basisschutzregelungen Informationssicherheit der Universität vorgeschrieben. Längere Passworte sind dabei immer besser als kürzere
- Ein Passwort soll einzigartig sein, also nicht in unterschiedlichen Diensten verwendet werden. Sonst ist es möglich, dass ein in einem anderen Dienst gestohlenes Passwort gleich für einen Einbruch in einen anderen Dienst verwendet werden kann
- Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
- Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw.
- Wenn möglich sollte es nicht in Wörterbüchern vorkommen.
- Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd usw.
- Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.
Tipps zur Erzeugung von und zur Handhabung von sicheren Passworten
Aus der vorherigen Beschreibung wird klar: Ein sicheres Passwort ist nicht so einfach zu wählen und zu merken. Passwortmanager sind hier ein wichtiges Mittel um komplexe und vor allem für jeden Dienst unterschiedliche Passworte verwenden zu können. Sie haben üblicherweise auch eine Funktion um sehr sichere, zufällige Passworte zu erzeugen.
Eine Technik, um auch ohne Passwortmanager lange und damit sicherere Passworte zu verwenden, kann so aussehen:
- Man denkt sich zuerst ein 'Kernpasswort' aus. Dies sollte schon eine gewisse Mindestlänge haben, z. B. bereits 12 Zeichen, und die zuvor genannten Kriterien erfüllen.
- Für jeden Dienst, der ein Passwort erfordert, ergänzt man das Kernpasswort am Anfang und am Ende um einfach zu merkende Bestandteile, die für sich genommen nicht so kompliziert sein müssen.
Bei dieser Technik muss man sich nur das Kernpasswort merken und pro Dienst die Zeichen, die man ergänzt hat.
Eine andere Lösung kann es sein sich mindestens vier 'normale' Worte auszusuchen, die man dann zu einem sehr langen Passwort (mehr als 20 Zeichen) zusammenfügt und durch flexible Groß- und Kleinschreibung komplexer macht. Diese Technik wird in diesen beiden (englischen) Quellen beschrieben: XKCD Comic 'Password Strength' und Passwort Regeln der Standford University. (beide Seite sind in englischer Sprache).
Wie schütze ich mein Passwort
Leider kann auch das beste Passwort abhanden kommen bzw. missbraucht werden, wenn der Umgang mit dem Passwort nicht sorgfältig ist. Auch hier gibt es einige Tipps des BSI:
- Passwörter nicht mehrfach verwenden: Leider kommt es heute fast jede Woche vor, dass irgendein Internetdienst eingestehen muss, dass Angreifer die Daten seiner Benutzer gestohlen haben. Oft werden dabei auch gleich die Passwörter mit entwendet. Wenn man nun in allen genutzten Diensten das gleiche Passwort verwendet, dann haben die Angreifer gleich auch auf alle anderen Dienste Zugriff. Das Passwort sollte daher in keinem Fall bei Diensten außerhalb der Hochschule genutzt werden, im besten Fall einzigartig sein.
- Voreingestellte Passwörter ändern: Wenn Ihr BIS Account angelegt wird oder falls Sie Ihr Passwort vergessen haben und wir es zurücksetzen ist Ihr Zugang zunächst mit einem Startpasswort geschützt, welches Ihnen zur Verfügung gestellt wird. Dieses Passwort sollten Sie sofort in ein individuelles Passwort ändern. Die Seite zur Passwortänderung zeigt Ihnen in diesem Fall auch einen entsprechenden Warnhinweis an, der nach der Änderung des Passworts verschwindet.
- Passwörter regelmäßig ändern: Je länger ein Passwort verwendet wird, desto größer wird das Risiko, dass es abhanden kommt. Durch die regelmäßige Änderung - z. B. jedes halbe Jahr - wird auch der Schaden begrenzt, den ein Angreifer mit einem einmal gestohlenen Passwort anrichten kann.
- Bildschirmschoner mit Kennwort sichern: Viele Webbrowser können heute Passworte speichern und so den Zugriff auf verschiedene Dienste bequemer und die Verwendung komplizierter, sicherer Passwörter einfacher machen. Der Nachteil dieser Funktionen ist es, dass jede Person mit Zugang zu Ihrem Rechner - sei es in der Universität oder auch Privat - dann ohne Ihr Passwort zu kennen auf die entsprechenden Dienste zugreifen kann. Ist Ihr Rechner hingegen mit einem sich automatisch einschaltenden Bildschirmschoner geschützt, der zur Freigabe des Rechners ein Passwort abfragt, ist dieser Weg für einen Angreifer versperrt.
Wenn Sie zusätzlich die Zwei-Faktor-Authentifizierung nutzen ist der Diebstahl Ihres Passworts für einen Angreifer nicht genug um Ihr Konto zu übernehmen. Hier gewinnen Sie erheblich an Sicherheit.
Wie kann ich erkennen, ob mein Passwort gestohlen wurde oder ob jemand versucht es zu stehlen?
In der Seite 'Mein Account' kann die eigene Loginhistorie abgerufen werden:
In dieser Seite werden die letzten sieben Tage angezeigt, an denen Logins oder Loginversuche über die Anmeldeseite mit Ihrem Zugang vorgekommen sind. Entsprechende Seiten findet man heute in vielen großen Onlinediensten, ihr Zweck ist es, Sie selbst in die Lage zu versetzen, eventuelle Passwortdiebstähle oder Versuche Ihr Passwort zu stehlen erkennen zu können. Weitere Hinweise finden Sie hier.
Nutzung der Zwei-Faktor-Authentifizierung
Ein wirksames Mittel um die Sicherheit des eigenen BIS Zugangs zu erhöhen ist die Nutzung der Zwei-Faktor-Authentifizierung, die sich in wenigen Schritten aktivieren lässt.
Das Zusatzpasswort
Das sogn. Zusatzpasswort ist ein zusätzliches Passwort für einige spezielle BIS Anwendungen. Diese Funktion ist nur für Personen relevant, die entsprechende Hinweise vom BIS Support bekommen haben.
Der Sinn des Zusatzpasswortes ist es eine sicheres Passwort an Stellen verwenden zu können, an denen die sonstigen Sicherheitsfunktionen des Logins nicht greifen können. Das Passwort wird daher nicht von Ihnen selbst eingetragen, sondern vom System als Zufallswert generiert.
Sie können sich ein Zusatzpasswort auf der Seite 'Mein Account' geben, die entsprechende Option ist im rechten Seitenmenü vorhanden. Das Zusatzpasswort wird direkt nach der Generierung in der Seite angezeigt, hier können Sie es herauskopieren und z. B. in einem Passwortmanager abspeichern.
Wenn Sie das Zusatzpasswort nicht mehr kennen, so können Sie es einfach löschen und ein neues generieren, welches von da an gültig ist.
Fußnoten
- ↑ Im Zeitalter von Sozialen Netzwerken können Angreifer*innen ggf. sehr viel über Sie erfahren, ohne Sie jemals getroffen zu haben. Auch sind Fälle bekannt, in denen der Angriff aus dem engeren Umfeld kam, also von Personen, die umfangreiche Kenntnisse haben.
- ↑ BSI ist die Abkürzung des Bundesamtes für Sicherheit in der Informationstechnik