Weisung zum Umgang mit Passwörtern an der Universität Basel

Beschluss des IT-Steuerungsausschusses vom 08.02.2012 (letzte Änderung 25.03.2014); Ergänzt aufgrund Sicherheitstechnischer Anforderungen in der minimalen Passwortlänge auf 12 Zeichen durch die IT-Services am 04.11.2020

Persönliche Passwörter stellen den Schlüssel zu vielen Informatikressourcen der Universität Basel dar. In den falschen Händen führen sie zu einer Vielzahl von Missbrauchsmöglichkeiten wie Urheberrechtsverletzungen, Spionage und Identitätsdiebstahl. Passwörter sind daher vertraulich zu behandeln, regelmässig zu ändern und sicher zu verwahren.

§1. Es ist grundsätzlich nicht gestattet, persönliche Passwörter weiter zu geben oder zu veröffentlichen.

§2. Zu einfache Passwörter können leicht erraten oder berechnet werden. Passwörter müssen daher mindestens folgenden Kriterien entsprechen:

  1. Das Passwort darf keine Teile (grösser zwei Zeichen) des Nach-, Vor- oder Kontonamens des Benutzers enthalten.
  2. Das Passwort muss mindestens 12 und maximal 40 Zeichen lang sein.
  3. Die letzten Passwörter dürfen nicht verwendet werden und «?» und «!» dürfen nicht das erste Zeichen sein.
  4. Das Passwort darf kein Leerzeichen enthalten.
  5. Das Passwort muss Zeichen aus drei der folgenden Zeichenklassen enthalten:
  • Großbuchstaben: ABCDEFGHIJKLMNOPQRTSUVWXYZ
  • Kleinbuchstaben: abcdefghijklmnopqrstuvwxyz
  • Zahlen zur Basis 10: 0123456789
  • Nicht alphanumerische Zeichen: ! @ # ^ * _ - + = \ ( ) : ;  , . ? /

Diese Kriterien können aus Sicherheitsgründen jeder Zeit ohne vorherige Ankündigung geändert werden.

Bei jeder Passwortänderung überprüft das IdM, wieviele Änderungen innerhalb der letzten 24 Std versucht wurden. Bei mehr als 10 Änderungen wird die Zugangsberechtigung aus Sicherheitsgründen deaktiviert. Betroffene Benutzer können sich zur Entsperrung mit einem Pass oder ID beim ITS-ServiceDesk melden.

Passworte sollten trotz der Anforderungen an die Komplexität so gewählt werden, dass sie nicht notiert werden müssen. Es wird empfohlen, auch die Passwortwiederherstellung im Viaweb zu aktivieren.

§3. Passworte sind regelmässig zu ändern.

Ein Passwort ist 12 Monate gültig. Vor Ablauf der Gültigkeit erhält der Benutzer Erinnerungsmails, dass das Passwort geändert werden muss. Erfolgt bis zum Ablauf der Gültigkeit keine Änderung des Passworts, wird der Zugang zu Universitätsressourcen gesperrt, bis das Passwort geändert wurde. Die selbstständige Passwortänderung bleibt weiterhin möglich.

Es liegt darüber hinaus in der Verantwortung des Benutzers, das Passwort bei Verdacht auf Missbrauch des eigenen Kontos oder nach Einsatz an nicht vertrauenswürdigen Stellen wie Internetcafés zu ändern.

Zusätzliche Informationen:

Das Passwort kann im Viaweb geändert werden.

Die IT-Services unterstützen bei Unklarheiten und bei der Suche nach Lösungen, die z.B. eine Weitergabe des Passwortes überflüssig machen.