Warum müssen Sie ein sicheres Passwort wählen?
Zusätzlich zu Ihrem Benutzernamen benötigen Sie ein Passwort, um auf die IT-Ressourcen
am Wissenschaftsstandort Göttingen zuzugreifen. Während Ihr Benutzername mehreren
Personen bekannt ist, muss Ihr Passwort geheim gehalten werden, um unberechtigten
Dritten keinen Zugriff auf die für Sie bereitgestellten Ressourcen zu erlauben.
Ihr Passwort ermöglicht den Systemen daher, Sie zusammen mit Ihrem Benutzernamen
eindeutig zu identifizieren (bzw. zu authentifizieren). Erlangt ein Angreifer an
Ihr Passwort, so kann er unter Ihrer Identität nicht nur Ihre Dateien verwenden,
sondern zusätzlich in Ihrem Namen weitere Angriffe oder im Extremfall Straftaten
über das Netzwerk durchführen.
Ermöglicht wird dies durch die dezentrale Verfügbarkeit der Dienste und Anwendungen
beispielsweise über das Internet. Umgekehrt können auch Sie bzw. Ihr Passwort Ziel
eines solchen dezentralen Angriffs sein. Daher muss Ihr Passwort möglichst resistent
gegen typische Angriffstechniken wie dem simplen Ausprobieren aller möglichen Kombinationen
(„brute-force“) gestaltet werden. Häufig muss ein Angreifer jedoch gar nicht alle
Kombinationen ausprobieren. Er verwendet zunächst Wörterbücher („dictionary attacks“),
die seine Suche verkürzen, sofern Ihr Passwort ausschließlich ganze Wörter oder
typische Zeichenfolgen („1234“, „QWERTZ“ oder „4711“) enthält. Angreifer können
hierfür auch persönliche Informationen über Sie, z.B. von Web-Seiten, erhalten.
Diese umfassen ggf. „Name des Haustiers“, Geburtsdatum etc.
Bitte beachten Sie auch, dass der Angreifer das Passwort auch durch Täuschung erhalten
kann („Social Engineering“). Geben Sie daher keine Informationen über Ihr Passwort
gegenüber Dritten (auch nicht vermeintlichen IT-Mitarbeitern oder Administratoren
am Wissenschaftsstandort Göttingen) preis.
Welchen Anforderungen sollte ein sicheres Passwort genügen?
Um die Sicherheit Ihres Passworts zu gewährleisten und den Missbrauch wie oben geschildert
zu vermeiden, sollte Ihr Passwort:
- mindestens zehn Zeichen lang sein
- mindestens ein Sonderzeichen enthalten (z. B. !?“$%&/\()=;@,.-_<>#*+~'`;:{[]} oder Leerzeichen)
- sowohl Groß- als auch Kleinbuchstaben enthalten
- neben Buchstaben auch Zahlen beinhalten
- falls es geändert wird, nicht dem Passwort entsprechen das vorher benutzt wurde
- nicht dem Vor- Nach- oder Nutzernamen entsprechen
Wie wählt man ein sicheres Passwort, das man sich merken kann?
Die genannten Komplexitätsanforderungen an Passwörter führen dazu, dass Passwörter
schwieriger zu merken sind, als beispielsweise ein einfaches und unsichereres Wort
wie „max“ oder „max2007“. Durch verschiedene Techniken lassen sich jedoch Passwörter
erzeugen, die nicht auf einzelnen Worten basieren und somit eine größere Vielfalt
und Sicherheit aufweisen.
Häufig werden Passwörter hierfür basierend auf „Merksprüchen“ erzeugt. Beispielsweise
könnte der Merkspruch lauten:
„meinen Benutzeraccount in Göttingen nutze ich seit 2007!“
Durch die Verkürzung auf die Anfangsbuchstaben und letzte Zahl des Jahres könnte
daraus das Passwort
mBiGnis7!
entstehen. Als Variation der Sonderzeichen könnte z. B. auch „- in Göttingen -“
im Merkspruch zu:
mB-iG-nis7!
werden. Eine weitere Variation könnte es sein, das „ö“ aus Göttingen aufzunehmen,
jedoch das „ö“ zu „o:“ ändern. Daraus entstünde das Passwort:
mBiGo:nis7
Im resultierenden Passwort könnten auch einige Buchstaben durch Zahlen, die Ihnen
ähnlich sehen ersetzt werden, wie z. B. in:
mB1G0:n1s7
Eine weitere Möglichkeit bildet die Verlängerung des Passworts z. B. durch die Verwendung
von Sätzen. Generell gilt, dass bereits wenige zusätzliche Zeichen die Sicherheit
stärker erhöhen, als die Verwendung zusätzlicher Sonderzeichen in Passwörtern. Beispielsweise
ließe sich eine fiktive E-Mail Adresse als Passwort verwenden, die zum einen viele
Zeichen umfasst und zum anderen leichter bzw. schneller eingegeben werden kann:
L.Mueller@traumstadt.de oder http://traum.de/LMueller
Auch der eingangs genannte Merkspruch kann durch die Länge vereinfacht werden:
Account: hab ich seit 2007
Es können auch nur einzelne Wörter ausgeschrieben werden:
A_HabIchSeit07
Durch ein wenig Kreativität lässt sich die Komplexität beliebig verfeinern. Eine
Technik besteht im Kreieren von Unwörtern:
VerAccountung_2007 oder VerAcct_2007ad
Zahlen und Sonderzeichen lassen sich hier auch als fiktive Mengenangaben realisieren.
Könnte ein Account in Göttingen 200$ kosten, 150% funktionieren?:
1Acc:_200$ oder Acct_geht_150% oder 64kg=1Acct
Auch unwahre Aussagen wären möglich:
1+1=5/3=Acht oder Nach5Regen!Schnee?
WICHTIG: Die oben genannten Beispiele sind selbstverständlich
mit ihrer Veröffentlichung auf dieser Seite nicht mehr verwendbar. Sie werden daher
für die Passwort-Änderung ausgeschlossen.
Sollte man sichere Passwörter aufschreiben oder abspeichern?
Passwörter werden im Alltag nicht nur für IT-Ressourcen am Wissenschaftsstandort
Göttingen benötigt. Sie erhalten Passwörter für Ihren privaten Internet-Zugang,
Ihr Bankkonto etc. Durch das IdM-Portal der GWDG wird es möglich, dass Sie
sich für den Zugang zu IT-Ressourcen nur noch ein Passwort merken müssen, bzw. bei
einer Passwort-Änderung dies direkt in alle angeschlossenen Systeme verteilen. Trotzdem
werden Sie auch andere Passwörter z. B. für Web-Shops etc. verwenden. Sie sollten
dabei vermeiden Ihre Passwörter leicht zugänglich (z. B. direkt am Arbeitsplatz
oder als „gelbe Zettel am Monitor“) aufzuschreiben. Ein weiteres Problem besteht
im Speichern der Passwörter direkt in der Applikation (beispielsweise im Web-Browser
oder dem Mail-Programm). Sie müssen sich dabei bewusst sein, dass das Passwort hierbei
auch von Dritten aus dem Speicher Ihres Programms gewonnen werden kann. Trotzdem
können Sie nicht für jede Anwendung ein separates Passwort definieren ohne dieses
dann bei jedem Zugriff ablesen zu müssen bzw. die Passwörter nach einer festen Methodik
zu vergeben.
Der Kompromiss sollte darin liegen, dass Sie Passwörter z. B. nach dem Risiko ihres
Missbrauchs angleichen. Z. B. könnten Sie für alle Web-Shops bei denen sie Bücher
kaufen das gleiche Passwort verwenden, ein weiteres für Ihre E-Mail Adressen etc.
Die verbleibenden Passwörter sollten nach den genannten Kriterien möglichst komplex
gewählt werden. Um die verbleibenden komplexen Passwörter sicher zu verwalten, existieren
spezielle Programme, die die Passwörter verschlüsselt speichern. Zum späteren Entschlüsseln
können Sie ein einziges Passwort für die Applikation verwenden und die Passwörter
anzeigen. Bitte beachten Sie, dass Sie hierbei auf den sorgsamen Umgang des Programms
mit Ihren Passwörtern vertrauen müssen. Beispiele für sichere Passwortspeicher sind:
Zusätzliche Information für Nutzer mit SAP-Zugang
Sollten Sie Zugang zu einem SAP-System haben, darf Ihr Passwort keine Zeichenfolge aus folgender
Liste enthalten. Grund hierfür sind Passwortrichtlinien von SAP.