Passwortsicherheit

Ab dem 16.02.2015 gilt die Folgende neu Policy:
Weisung zum Umgang mit Passwörtern an der Universität Basel
ITS 06.02.2017

Viele Dienste an der Universität Basel und im Internet sind nicht öffentlich, sondern stehen nur für authentifizierte Nutzer zur Verfügung. Damit können nur berechtigte Personen einen solchen Dienst nutzen. Oft wird mit der Authentifizierung auch festgelegt, was die angemeldete Person am System machen darf. Das Passwort ist in diesem Fall der einzige "Schlüssel" zu Dienst und Daten.
An der Universität Basel werden immer mehr Dienste über den zentralen Email-Account zur Verfügung gestellt: Email, VPN-Zugang zum Universitätsnetz, Anmelden an Rechnersystemen, Selfservices für Administration und Lehre. Um so wichtiger ist es, dass Ihr Passwort absolut vertraulich bleibt! Als kurze Regel gilt: Behandeln Sie Ihr Unibas-Passwort so sicher und vertraulich wie die PIN Ihrer Geldkarte.

Warum braucht es sichere und geheime Passwörter?

Der einzige Schutz für Ihr Email-Postfach, den VPN-Zugang zum Universitätsnetz, zu immer mehr Diensten und Rechnern im Universitätsnetz ist die Kombination aus Login und Passwort. Dass diese Zugänge für Fremde interessant und lukrativ sind, sieht man nicht nur an den ständigen Phishing-Attacken gegen Unibas-Accounts, leider gab und gibt es immer wieder missbräuchlichen Zugriff mit "geklauten" Unibas-Accounts aus vielen Ländern. Wird eine illegale oder gar kriminelle Aktion unter Ihrem Account durchgeführt, sind Sie natürlich zunächst "hauptverdächtig"!

Angriffe gegen Passwörter und deren Verhinderung

Wie kommen Unbefugte an Unibas-Passwörter und was können SIE dagegen tun?

  • Die Passworte sind zu einfach und können erraten werden => verwenden Sie sichere Passworte (siehe unten).
  • Die Passworte werden weitergegeben (z.B. Phishing) => geben Sie Ihr Unibas-Passwort niemals weiter! Die IT-Services verschicken keine Emails mit Links auf Webseiten, wo Sie Ihr Passwort eingeben müssen.
  • Die Passworte werden über verseuchte Rechner mitgelauscht (z.B. im Internetcafe, bei Freunden etc.) => Ändern Sie Ihr Passwort, wenn Sie es an solchen Rechnern eingegeben haben.
  • Die Passworte werden bei der Übertragung im Netzwerk mitgelauscht => verwenden Sie nur verschlüsselte Übertragung (https, vpn, imaps) für die Übertragung von Passworten.
  • Die Passworte werden auf ungesicherten Servern im Internet gefunden => verwenden Sie Ihr Unibas-Passwort nirgendwo sonst, schon gar nicht im Zusammenhang mit Ihrer Email-Adresse.
  • Generell erhöht es die Sicherheit, wenn Sie gelegentlich oder noch besser regelmässig Ihr Passwort ändern - sollte es in falsche Hände gelangt sein, können diese nach einer Änderung nicht mehr Ihren Account missbrauchen.

Die häufigsten Fehler beim Umgang mit Passworten

  1. Ihr Passwort ist zu einfach: Wenn Ihr Passwort zu einfach und damit leicht erratbar ist, machen Sie es Angreifern leicht. Vor allem wenn der Dienst beliebig viele Passwortversuche zulässt.
  2. Ihr Passwort zu kurz: Ein zu kurzes Passwort kann leichter erraten werden. Wenn es nur wenige Zeichen hat, kann ein Angreifer alle Zeichenkombinationen in kurzer Zeit automatisiert überprüfen. Falls jemand Zugang zu verschlüsselten Passworten bekommt, sind diese umso schneller zu "knacken" je kürzer sie sind.
  3. Ihr Passwort ist seit Jahren unverändert: Wenn Sie es irgendwann einmal auf einem manipulierten Rechner eingegeben haben (Internet-Cafe?), ist es seither für Fremde verwendbar. Regelmässiges Ändern hält die Zeit kurz, in der ein heimlich "abgegriffenes" Passwort illegal verwendet werden kann.
  4. Ihr Passwort ist auf dem Rechner gespeichert: Wenn Sie alle Passworte, die Sie verwenden, direkt auf dem Rechner speichern, laufen Sie Gefahr, dass Angreifer an diese Daten herankommen. Angreifer kann ein Mitbenutzer des Rechners sein oder ein Virus, dass die Daten Ihres Rechners durchsucht.
  5. Sie verwenden an vielen Stellen dasselbe Passwort: Wenn Sie ein Passwort an vielen Stellen verwenden, dann reicht eine "gehackte" Stelle - und ein Angreifer hat Zugang zu vielen Systemen. Vor allem wenn dazu noch die Email-Adresse oder Login angegeben wurden. Leider kommt es immer wieder vor, dass Webseiten mit Logindaten von Angreifern übernommen werden. Für "wichtige" Accounts / Zugänge sollten Sie daher individuelle Passworte verwenden.

Screensaver mit Passwortschutz

Wenn Sie Ihren Arbeitsplatz verlassen, ohne den Rechner herunterzufahren, sollte sofort / binnen Kürze ein sogenannter Bildschirmschoner starten, der mit dem Passwortschutz versehen ist. Das bedeutet, dass erst nach Eingabe Ihres Passworts der eigentliche Bildschirm wieder sichtbar ist und der Rechner wieder verwendet werden kann.

Aber meine Daten sind doch nicht wichtig

Wenn Sie immer noch glauben, dass Ihr Account nicht so wichtig ist oder Ihre Daten keine grosse Sicherheit brauchen: Ein Unibas-Account in falschen Händen

  • kann für Phishing- / Scam- /Spam-Emails missbraucht werden. Die Folge davon ist nicht nur, dass Ihr Email-Account "verbrannt" ist, sehr schnell kommen die Emailserver der Universität dann weltweit als "Spamschleudern" auf schwarze Listen, so dass viele Systeme gar keine Emails mehr von unseren Emailservern annehmen!
  • kann als eindeutiger Absender für alle möglichen illegalen Emailaktivitäten verwendet werden (z.B. Beleidigung oder üble Nachrede).
  • kann einem Eindringling Zugang zum Universitätsnetz verschaffen. Ist er erst einmal im internen Netz, kann er viele Dienste und Daten angreifen, die (weil von aussen nicht erreichbar) möglicherweise vertrauchlich und/oder schlecht gesichert sind.
  • ermöglicht Nichtberechtigten über VPN auf (Literatur-) Datenbanken zugreifen, die laut den Verträgen nur für Uniangehörige zugänglich sind. Im Missbrauchsfall können die Inhaber dieser Daten der Universität weiteren Zugriff versagen.
  • gibt Fremden die Möglichkeit vertrauliche Emails lesen, die Sie verschicken oder erhalten.
  • kann in Zukunft Zugang auf immer mehr interne Dienste aus dem Internet verschaffen (z.B. per VPN ins Uninetz und dann auf Fileserver / Rechner / Dienste). Industrie- und Wissenschaftsspionage sind keine Hirngespinste.
Lesen Sie dazu auch unsere Seite über weitere Mythen und Falscheinschätzungen.