Mein unibas-Account: Ein exklusives Passwort - weil wir es uns wert sind
Viele Dienste an der Universität Basel und im Internet sind nicht öffentlich, sondern stehen ausschliesslich für authentifizierte Nutzer zur Verfügung. Oft wird mit der Authentifizierung auch festgelegt, was die angemeldete Person am System machen darf. Das Passwort ist in diesem Fall der einzige "Schlüssel" zu Dienst und Daten. An der Universität Basel werden immer mehr Dienste über den zentralen E-Mail-Account zur Verfügung gestellt: E-Mail, VPN-Zugang zum Universitätsnetz, Anmelden an Rechnersystemen oder der Selfservices für Administration und Lehre. Um so wichtiger ist es, dass Ihr Passwort absolut vertraulich bleibt! Als kurze Regel gilt: Behandeln Sie Ihr Unibas-Passwort so sicher und vertraulich wie die PIN Ihrer Kreditkarte.
Der einzige Schutz für Ihr E-Mail-Postfach, den VPN-Zugang zum Universitätsnetz, den Zugang zu immer mehr Diensten und für Rechnern im Universitätsnetz ist die Kombination aus Login und Passwort. Dass diese Zugänge für Fremde interessant und lukrativ sind, sieht man zum Beispiel an den ständigen Phishingattacken gegen Unibas-Accounts. Leider gab und gibt es immer wieder missbräuchlichen Zugriff mit "geklauten" Unibas-Accounts aus vielen Ländern. Ein sicheres Passwort liegt im Interesse des Kontoinhabenden: Wird eine illegale oder gar kriminelle Aktion mit einem Account durchgeführt, muss sich zunächst die kontoinhabende Person rechtfertigen!
Wie kommen Unbefugte an Unibas-Passwörter und was können SIE dagegen tun?
- Die Passworte sind zu einfach und können erraten werden => verwenden Sie sichere Passworte (siehe unten).
- Die Passworte werden weitergegeben (z.B. Phishing) => geben Sie Ihr Unibas-Passwort niemals weiter! Die IT-Services verschicken keine E-Mails mit Links auf Webseiten, wo Sie Ihr Passwort eingeben müssen.
- Die Passworte werden über verseuchte Rechner mitgelauscht (z.B. im Internetcafe, bei Freunden etc.) => Ändern Sie Ihr Passwort, wenn Sie es an solchen Rechnern eingegeben haben.
- Die Passworte werden bei der Übertragung im Netzwerk mitgelauscht => verwenden Sie nur verschlüsselte Übertragung (https, vpn, imaps) für die Übertragung von Passworten.
- Die Passworte werden auf ungesicherten Servern im Internet gefunden => verwenden Sie Ihr Unibas-Passwort nirgendwo sonst, schon gar nicht im Zusammenhang mit Ihrer E-Mail-Adresse.
- Generell erhöht es die Sicherheit, wenn Sie gelegentlich oder noch besser regelmässig Ihr Passwort ändern - sollte es in falsche Hände gelangt sein, können diese nach einer Änderung nicht mehr Ihren Account missbrauchen.
- Sie verwenden an vielen Stellen dasselbe Passwort: Wenn Sie ein Passwort an vielen Stellen verwenden, dann reicht eine "gehackte" Stelle - und ein Angreifer hat Zugang zu vielen Systemen. Vor allem, wenn dazu noch die E-Mail-Adresse oder Login angegeben wurden. Leider kommt es immer wieder vor, dass Webseiten mit Logindaten von Angreifern übernommen werden. Für "wichtige" Accounts / Zugänge sollten Sie daher individuelle Passworte verwenden. (Siehe auch: Verhalten)
- Ihr Passwort ist zu einfach: Wenn Ihr Passwort zu einfach und damit leicht erratbar ist, machen Sie es Angreifern leicht. Vor allem wenn der Dienst beliebig viele Passwortversuche zulässt.
- Ihr Passwort zu kurz: Ein zu kurzes Passwort kann leichter erraten werden. Wenn es nur wenige Zeichen hat, kann ein Angreifer alle Zeichenkombinationen in kurzer Zeit automatisiert überprüfen. Falls jemand Zugang zu verschlüsselten Passworten bekommt, sind diese umso schneller zu "knacken" je kürzer sie sind.
- Ihr Passwort ist seit Jahren unverändert: Wenn Sie es irgendwann einmal auf einem manipulierten Rechner eingegeben haben (z. B. in einem Internet-Cafe), ist es seither für Fremde verwendbar. Regelmässiges Ändern hält die Zeit kurz, in der ein heimlich "abgegriffenes" Passwort illegal verwendet werden kann.
- Ihr Passwort ist auf dem Rechner gespeichert: Wenn Sie alle Passworte, die Sie verwenden, direkt auf dem Rechner speichern, laufen Sie Gefahr, dass Angreifer an diese Daten herankommen. Angreifer kann ein Mitbenutzer des Rechners sein oder ein Virus, der die Daten Ihres Rechners durchsucht. Eine Ausnahme bilden verschlüsselt gespeicherte Passwörter, z.B. in einem Passwortmanager.
Wenn Sie Ihren Arbeitsplatz verlassen, ohne den Rechner herunterzufahren, sollte sofort / binnen Kürze ein sogenannter Bildschirmschoner starten, der mit dem Passwortschutz versehen ist. Das bedeutet, dass erst nach Eingabe Ihres Passworts der eigentliche Bildschirm wieder sichtbar ist und der Rechner wieder verwendet werden kann.
Ein Unibas-Account in falschen Händen:
- kann für Phishing- / Scam- / Spam-E-Mails missbraucht werden. Die Folge davon ist nicht nur, dass Ihr E-Mail-Account "verbrannt" ist, sehr schnell kommen die E-Mailserver der Universität dann weltweit als "Spamschleudern" auf schwarze Listen, so dass viele Systeme gar keine E-Mails mehr von unseren E-Mailservern annehmen!
- kann als eindeutiger Absender für alle möglichen illegalen E-Mail-Aktivitäten verwendet werden (z.B. Beleidigungen oder üble Nachrede).
- kann einem Eindringling Zugang zum Universitätsnetz verschaffen. Ist er erst einmal im internen Netz, kann er viele Dienste und Daten angreifen, die (von aussen unereichbar) möglicherweise vertrauchlich und / oder schlecht gesichert sind.
- ermöglicht Nichtberechtigten über VPN auf (Literatur-)Datenbanken zugreifen, die laut den Verträgen nur für Uniangehörige zugänglich sind. Im Missbrauchsfall können die Inhaber dieser Daten der Universität weiteren Zugriff versagen.
- gibt Fremden die Möglichkeit vertrauliche E-Mails zu lesen, die Sie verschicken oder erhalten.
- kann in Zukunft Zugang auf immer mehr interne Dienste aus dem Internet verschaffen (z.B. per VPN ins Uninetz und dann auf Fileserver / Rechner / Dienste). Industrie- und Wissenschaftsspionage sind keine Hirngespinste.