Passwortgestaltung
Warum müssen Sie ein sicheres Passwort wählen?
Zusätzlich zu Ihrem Benutzernamen benötigen Sie ein Passwort, um auf die IT-Ressourcen am Wissenschaftsstandort Göttingen zuzugreifen. Während Ihr Benutzername mehreren Personen bekannt ist, muss Ihr Passwort geheim gehalten werden, um unberechtigten Dritten keinen Zugriff auf die für Sie bereitgestellten Ressourcen zu erlauben. Ihr Passwort ermöglicht den Systemen daher, Sie zusammen mit Ihrem Benutzernamen eindeutig zu identifizieren (bzw. zu authentifizieren). Erlangt ein Angreifer an Ihr Passwort, so kann er unter Ihrer Identität nicht nur Ihre Dateien verwenden, sondern zusätzlich in Ihrem Namen weitere Angriffe oder im Extremfall Straftaten über das Netzwerk durchführen.
Ermöglicht wird dies durch die dezentrale Verfügbarkeit der Dienste und Anwendungen beispielsweise über das Internet. Umgekehrt können auch Sie bzw. Ihr Passwort Ziel eines solchen dezentralen Angriffs sein. Daher muss Ihr Passwort möglichst resistent gegen typische Angriffstechniken wie dem simplen Ausprobieren aller möglichen Kombinationen („brute-force“) gestaltet werden. Häufig muss ein Angreifer jedoch gar nicht alle Kombinationen ausprobieren. Er verwendet zunächst Wörterbücher („dictionary attacks“), die seine Suche verkürzen, sofern Ihr Passwort ausschließlich ganze Wörter oder typische Zeichenfolgen („1234“, „QWERTZ“ oder „4711“) enthält. Angreifer können hierfür auch persönliche Informationen über Sie, z.B. von Web-Seiten, erhalten. Diese umfassen ggf. „Name des Haustiers“, Geburtsdatum etc.
Bitte beachten Sie auch, dass der Angreifer das Passwort auch durch Täuschung erhalten kann („Social Engineering“). Geben Sie daher keine Informationen über Ihr Passwort gegenüber Dritten (auch nicht vermeintlichen IT-Mitarbeitern oder Administratoren am Wissenschaftsstandort Göttingen) preis.
Welchen Anforderungen sollte ein sicheres Passwort genügen?
Um die Sicherheit Ihres Passworts zu gewährleisten und den Missbrauch wie oben geschildert zu vermeiden, sollte Ihr Passwort den folgenden Merkmalen entsprechen:
Wie wählt man ein sicheres Passwort, das man sich merken kann?
Die genannten Komplexitätsanforderungen an Passwörter führen dazu, dass Passwörter schwieriger zu merken sind, als beispielsweise ein einfaches und unsichereres Wort wie „max“ oder „max2007“. Durch verschiedene Techniken lassen sich jedoch Passwörter erzeugen, die nicht auf einzelnen Worten basieren und somit eine größere Vielfalt und Sicherheit aufweisen.
Häufig werden Passwörter hierfür basierend auf „Merksprüchen“ erzeugt. Beispielsweise könnte der Merkspruch lauten:
„meinen Benutzeraccount in Göttingen nutze ich seit 2007!“
Durch die Verkürzung auf die Anfangsbuchstaben könnte daraus das Passwort
mBiGnis2007!
entstehen. Als Variation der Sonderzeichen könnte z. B. auch „- in Göttingen -“ im Merkspruch zu:
mB-iG-nis2007!
werden. Eine weitere Variation könnte es sein, das „ö“ aus Göttingen aufzunehmen, jedoch das „ö“ zu „o:“ ändern. Daraus entstünde das Passwort:
mBiGo:nis2007
Im resultierenden Passwort könnten auch einige Buchstaben durch Zahlen, die Ihnen ähnlich sehen ersetzt werden, wie z. B. in:
mB1G0:n1s2007
Eine weitere Möglichkeit bildet die Verlängerung des Passworts z. B. durch die Verwendung von Sätzen. Generell gilt, dass bereits wenige zusätzliche Zeichen die Sicherheit stärker erhöhen, als die Verwendung zusätzlicher Sonderzeichen in Passwörtern. Beispielsweise ließe sich eine fiktive E-Mail Adresse als Passwort verwenden, die zum einen viele Zeichen umfasst und zum anderen leichter bzw. schneller eingegeben werden kann:
L.Mueller@traumstadt.de oder http://traum.de/LMueller
Auch der eingangs genannte Merkspruch kann durch die Länge vereinfacht werden:
Account: hab ich seit 2007
Es können auch nur einzelne Wörter ausgeschrieben werden:
A_HabIchSeit07
Durch ein wenig Kreativität lässt sich die Komplexität beliebig verfeinern. Eine Technik besteht im Kreieren von Unwörtern:
VerAccountung_2007 oder VerAcct_2007ad
Zahlen und Sonderzeichen lassen sich hier auch als fiktive Mengenangaben realisieren. Könnte ein Account in Göttingen 200$ kosten, 150% funktionieren?:
1Acc:_200$ oder Acct_geht_150% oder 64kg=1Acct
Auch unwahre Aussagen wären möglich:
1+1=5/3=Acht oder Nach5Regen!Schnee?
WICHTIG: Die oben genannten Beispiele sind selbstverständlich mit ihrer Veröffentlichung auf dieser Seite nicht mehr verwendbar. Sie werden daher für die Passwort-Änderung ausgeschlossen.
Sollte man sichere Passwörter aufschreiben oder abspeichern?
Passwörter werden im Alltag nicht nur für IT-Ressourcen am Wissenschaftsstandort Göttingen benötigt. Sie erhalten Passwörter für Ihren privaten Internet-Zugang, Ihr Bankkonto etc. Durch das IdM-Portal der GWDG wird es möglich, dass Sie sich für den Zugang zu IT-Ressourcen nur noch ein Passwort merken müssen, bzw. bei einer Passwort-Änderung dies direkt in alle angeschlossenen Systeme verteilen. Trotzdem werden Sie auch andere Passwörter z. B. für Web-Shops etc. verwenden. Sie sollten dabei vermeiden Ihre Passwörter leicht zugänglich (z. B. direkt am Arbeitsplatz oder als „gelbe Zettel am Monitor“) aufzuschreiben. Ein weiteres Problem besteht im Speichern der Passwörter direkt in der Applikation (beispielsweise im Web-Browser oder dem Mail-Programm). Sie müssen sich dabei bewusst sein, dass das Passwort hierbei auch von Dritten aus dem Speicher Ihres Programms gewonnen werden kann. Trotzdem können Sie nicht für jede Anwendung ein separates Passwort definieren ohne dieses dann bei jedem Zugriff ablesen zu müssen bzw. die Passwörter nach einer festen Methodik zu vergeben.
Der Kompromiss sollte darin liegen, dass Sie Passwörter z. B. nach dem Risiko ihres Missbrauchs angleichen. Z. B. könnten Sie für alle Web-Shops bei denen sie Bücher kaufen das gleiche Passwort verwenden, ein weiteres für Ihre E-Mail Adressen etc. Die verbleibenden Passwörter sollten nach den genannten Kriterien möglichst komplex gewählt werden. Um die verbleibenden komplexen Passwörter sicher zu verwalten, existieren spezielle Programme, die die Passwörter verschlüsselt speichern. Zum späteren Entschlüsseln können Sie ein einziges Passwort für die Applikation verwenden und die Passwörter anzeigen. Bitte beachten Sie, dass Sie hierbei auf den sorgsamen Umgang des Programms mit Ihren Passwörtern vertrauen müssen. Beispiele für sichere Passwortspeicher sind:
Zusätzliche Information für Nutzer mit SAP-Zugang
Sollten Sie Zugang zu einem SAP-System haben, darf Ihr Passwort keine Zeichenfolge aus folgender Liste enthalten. Grund hierfür sind Passwortrichtlinien von SAP.
Zusätzlich zu Ihrem Benutzernamen benötigen Sie ein Passwort, um auf die IT-Ressourcen am Wissenschaftsstandort Göttingen zuzugreifen. Während Ihr Benutzername mehreren Personen bekannt ist, muss Ihr Passwort geheim gehalten werden, um unberechtigten Dritten keinen Zugriff auf die für Sie bereitgestellten Ressourcen zu erlauben. Ihr Passwort ermöglicht den Systemen daher, Sie zusammen mit Ihrem Benutzernamen eindeutig zu identifizieren (bzw. zu authentifizieren). Erlangt ein Angreifer an Ihr Passwort, so kann er unter Ihrer Identität nicht nur Ihre Dateien verwenden, sondern zusätzlich in Ihrem Namen weitere Angriffe oder im Extremfall Straftaten über das Netzwerk durchführen.
Ermöglicht wird dies durch die dezentrale Verfügbarkeit der Dienste und Anwendungen beispielsweise über das Internet. Umgekehrt können auch Sie bzw. Ihr Passwort Ziel eines solchen dezentralen Angriffs sein. Daher muss Ihr Passwort möglichst resistent gegen typische Angriffstechniken wie dem simplen Ausprobieren aller möglichen Kombinationen („brute-force“) gestaltet werden. Häufig muss ein Angreifer jedoch gar nicht alle Kombinationen ausprobieren. Er verwendet zunächst Wörterbücher („dictionary attacks“), die seine Suche verkürzen, sofern Ihr Passwort ausschließlich ganze Wörter oder typische Zeichenfolgen („1234“, „QWERTZ“ oder „4711“) enthält. Angreifer können hierfür auch persönliche Informationen über Sie, z.B. von Web-Seiten, erhalten. Diese umfassen ggf. „Name des Haustiers“, Geburtsdatum etc.
Bitte beachten Sie auch, dass der Angreifer das Passwort auch durch Täuschung erhalten kann („Social Engineering“). Geben Sie daher keine Informationen über Ihr Passwort gegenüber Dritten (auch nicht vermeintlichen IT-Mitarbeitern oder Administratoren am Wissenschaftsstandort Göttingen) preis.
Welchen Anforderungen sollte ein sicheres Passwort genügen?
Um die Sicherheit Ihres Passworts zu gewährleisten und den Missbrauch wie oben geschildert zu vermeiden, sollte Ihr Passwort den folgenden Merkmalen entsprechen:
- Das Passwort muss zwischen 12 und 128 Zeichen lang sein und drei der vier folgenden Kriterien erfüllen:
- Großbuchstaben enthalten
- Kleinbuchstaben enthalten
- Zahlen enthalten
- Sonderzeichen enthalten (erlaubt: ^!"@$%&/()=?'`*+~#-_.,;:{[|]}\<>)
Wie wählt man ein sicheres Passwort, das man sich merken kann?
Die genannten Komplexitätsanforderungen an Passwörter führen dazu, dass Passwörter schwieriger zu merken sind, als beispielsweise ein einfaches und unsichereres Wort wie „max“ oder „max2007“. Durch verschiedene Techniken lassen sich jedoch Passwörter erzeugen, die nicht auf einzelnen Worten basieren und somit eine größere Vielfalt und Sicherheit aufweisen.
Häufig werden Passwörter hierfür basierend auf „Merksprüchen“ erzeugt. Beispielsweise könnte der Merkspruch lauten:
„meinen Benutzeraccount in Göttingen nutze ich seit 2007!“
Durch die Verkürzung auf die Anfangsbuchstaben könnte daraus das Passwort
mBiGnis2007!
entstehen. Als Variation der Sonderzeichen könnte z. B. auch „- in Göttingen -“ im Merkspruch zu:
mB-iG-nis2007!
werden. Eine weitere Variation könnte es sein, das „ö“ aus Göttingen aufzunehmen, jedoch das „ö“ zu „o:“ ändern. Daraus entstünde das Passwort:
mBiGo:nis2007
Im resultierenden Passwort könnten auch einige Buchstaben durch Zahlen, die Ihnen ähnlich sehen ersetzt werden, wie z. B. in:
mB1G0:n1s2007
Eine weitere Möglichkeit bildet die Verlängerung des Passworts z. B. durch die Verwendung von Sätzen. Generell gilt, dass bereits wenige zusätzliche Zeichen die Sicherheit stärker erhöhen, als die Verwendung zusätzlicher Sonderzeichen in Passwörtern. Beispielsweise ließe sich eine fiktive E-Mail Adresse als Passwort verwenden, die zum einen viele Zeichen umfasst und zum anderen leichter bzw. schneller eingegeben werden kann:
L.Mueller@traumstadt.de oder http://traum.de/LMueller
Auch der eingangs genannte Merkspruch kann durch die Länge vereinfacht werden:
Account: hab ich seit 2007
Es können auch nur einzelne Wörter ausgeschrieben werden:
A_HabIchSeit07
Durch ein wenig Kreativität lässt sich die Komplexität beliebig verfeinern. Eine Technik besteht im Kreieren von Unwörtern:
VerAccountung_2007 oder VerAcct_2007ad
Zahlen und Sonderzeichen lassen sich hier auch als fiktive Mengenangaben realisieren. Könnte ein Account in Göttingen 200$ kosten, 150% funktionieren?:
1Acc:_200$ oder Acct_geht_150% oder 64kg=1Acct
Auch unwahre Aussagen wären möglich:
1+1=5/3=Acht oder Nach5Regen!Schnee?
WICHTIG: Die oben genannten Beispiele sind selbstverständlich mit ihrer Veröffentlichung auf dieser Seite nicht mehr verwendbar. Sie werden daher für die Passwort-Änderung ausgeschlossen.
Sollte man sichere Passwörter aufschreiben oder abspeichern?
Passwörter werden im Alltag nicht nur für IT-Ressourcen am Wissenschaftsstandort Göttingen benötigt. Sie erhalten Passwörter für Ihren privaten Internet-Zugang, Ihr Bankkonto etc. Durch das IdM-Portal der GWDG wird es möglich, dass Sie sich für den Zugang zu IT-Ressourcen nur noch ein Passwort merken müssen, bzw. bei einer Passwort-Änderung dies direkt in alle angeschlossenen Systeme verteilen. Trotzdem werden Sie auch andere Passwörter z. B. für Web-Shops etc. verwenden. Sie sollten dabei vermeiden Ihre Passwörter leicht zugänglich (z. B. direkt am Arbeitsplatz oder als „gelbe Zettel am Monitor“) aufzuschreiben. Ein weiteres Problem besteht im Speichern der Passwörter direkt in der Applikation (beispielsweise im Web-Browser oder dem Mail-Programm). Sie müssen sich dabei bewusst sein, dass das Passwort hierbei auch von Dritten aus dem Speicher Ihres Programms gewonnen werden kann. Trotzdem können Sie nicht für jede Anwendung ein separates Passwort definieren ohne dieses dann bei jedem Zugriff ablesen zu müssen bzw. die Passwörter nach einer festen Methodik zu vergeben.
Der Kompromiss sollte darin liegen, dass Sie Passwörter z. B. nach dem Risiko ihres Missbrauchs angleichen. Z. B. könnten Sie für alle Web-Shops bei denen sie Bücher kaufen das gleiche Passwort verwenden, ein weiteres für Ihre E-Mail Adressen etc. Die verbleibenden Passwörter sollten nach den genannten Kriterien möglichst komplex gewählt werden. Um die verbleibenden komplexen Passwörter sicher zu verwalten, existieren spezielle Programme, die die Passwörter verschlüsselt speichern. Zum späteren Entschlüsseln können Sie ein einziges Passwort für die Applikation verwenden und die Passwörter anzeigen. Bitte beachten Sie, dass Sie hierbei auf den sorgsamen Umgang des Programms mit Ihren Passwörtern vertrauen müssen. Beispiele für sichere Passwortspeicher sind:
- Password Safe (http://www.schneier.com/passsafe.html), initiiert von Bruce Schneier
- KeePass (http://www.keepass.info), Open Source
Zusätzliche Information für Nutzer mit SAP-Zugang
Sollten Sie Zugang zu einem SAP-System haben, darf Ihr Passwort keine Zeichenfolge aus folgender Liste enthalten. Grund hierfür sind Passwortrichtlinien von SAP.