Sinn und Zweck unserer Passwortregeln

Das meistgenutzte Verfahren zur Authentifizierung von Benutzern ist der Einsatz von Passwörtern. Ihre Aufgabe ist primär der Schutz vor unbefugtem Zugriff und Missbrauch. Damit sie diese Aufgabe wirksam erfüllen können, sind verschiedene Regeln zu beachten, die sie auch in unseren Passwortfestlegungen finden. Hier sind Sie als Nutzer gefragt. Die Masse der Missbrauchsfälle wurde und wird durch (berechtigte) Nutzer durch Unkenntnis oder leichtfertiges Verhalten (mit-)verschuldet. Um Ihnen hier Handlungssicherheit zu geben haben wir die notwendigen Handlungsanweisungen publiziert.

Viele fragen sich, was das alles eigentlich soll, halten die Maßnahmen für schier übertrieben und verweisen darauf, dass Sie nichts besonders Schützenswertes auf Ihrem Rechner hätten. Beim Passwortdiebstahl geht es aber nicht nur um die spezifischen Daten des jeweiligen Nutzers, sondern auch um eine unautorisierte Nutzung von Ressourcen.

Mögliche Folgen eines erfolgreichen Passwortdiebstahls sind:

• ein unbefugter Informationsgewinn durch das Lesen Ihrer Mails und Dokumente
• das Verfälschen oder Löschen Ihrer Daten
• das Ändern Ihres Passworts, mit der Folge, dass Sie keinen Zugriff mehr auf das System haben.
• die Nutzung Ihrer Zugangsdaten zur Verschleierung der eigenen Identität, um unerlaubte oder strafbare Handlungen zu begehen, denkbar sind hier:
• die Publikation von rechtswidrigen, beleidigenden oder obszönen Inhalten per Mail in Ihrem Namen
• der Zugriff auf strafbare Inhalte im Internet mit Ihrem Login
• das Herunterladen oder der Tausch von urheberrechtlich geschützten Werken (Musik, Software, elektronische Publikationen)
• das Einschleusen von Viren, Würmern und Trojanischen Pferden und dadurch die Beeinträchtigung weiterer Nutzer oder auch externer Stellen, mit einem möglichen Imageschaden für die Universität
• das absichtliche Platzieren von illegalen Inhalten in Ihrem Verzeichnis mit der Gewährung eines öffentlichen Zugriffs und der gleichzeitigen Information verantwortlicher Stellen um Ihnen bewusst zu schaden.
  Der Verdacht der Strafverfolgungsbehörden würde automatisch auf Sie fallen und Sie müssten beweisen, dass Sie die Straftatbestände nicht begangen haben.

Die Wahl eines ausreichend sicheren und langen Passwortes erschwert es einem Angreifer das Passwort zu entschlüsseln. Einfache Entschlüsselungsverfahren werden wirkungslos, dass heißt aber nicht, dass Ihr Passwort gar nicht entschlüsselt werden kann.
Sollte Ihr Passwort einmal entschlüsselt sein, kann ein Angreifer es nur im Zeitraum seiner Gültigkeit nutzen, hier also maximal 180 Tage (= eine schon recht lange Zeitspanne), danach ist es wertlos.
Die Zeit die ein jemand benötigt, um Ihr Passwort zu entschlüsseln, hängt neben der Wahl des Passwortes (d.h. dem nutzbarem Zeichenvorrat), von dem Verfahren und der eingesetzten Technik ab.

Informationen zu diesem Thema finden Sie auch im Bogen, Heft 04/2004, S. 19: Vom Sinn und Zweck unserer Passwortregeln.

1. Ausprobieren
   Durch das Eingeben eines geratenen Passwortes wird versucht sich Zugang zu verschaffen. Das Verfahren ist wenig effizient und bietet nur bei leicht zu erratenden Passwörtern Aussicht auf Erfolg und wird daher kaum genutzt.
2. Einsatz von Passwort-Crack-Programmen
   Effizienter und somit wahrscheinlicher ist die Nutzung von frei verfügbaren und leicht zu bedienenden Passwort-Crack-Programmen, die mit verschiedenen Methoden versuchen an das verschlüsselt abgelegte Passwort zu kommen.
   
   • Wörterbuch-Attacke
     Hier werden Crack-Programme eingesetzt, die auf eine Wortliste zurückgreifen, in der viele bekannte Wörter hinterlegt sind. Das Programm probiert die enthaltenen Wörter nacheinander durch. Ein leistungsfähiger Rechner kann selbst eine sehr mächtige Liste (eine Textdatei die mehrere MB groß ist) in wenigen Stunden abarbeiten und alle Passwörter finden, die in der Wortliste enthalten sind. Einen wirkungsvollen Schutz erreicht man dadurch, dass man keine bekannten Wörter und Namen benutzt.
   • Brute-Force-Attacke
     Bei diesem Verfahren werden ausgehend von einem bestimmten Zeichenvorrat alle möglichen Kombinationen der Zeichen durchprobiert. Das Programm ist theoretisch in der Lage jedes beliebige Passwort zu finden. Die benötigte Zeit um zum Erfolg zu kommen ist abhängig von der Länge des Passwortes und dem verwendeten Zeichenvorrat und kann so extrem lange dauern. Das ist der Grund, warum die Passwörter an der Bauhaus-Universität acht Zeichen lang sein sollen und mindestens ein Sonderzeichen und eine Ziffer enthalten müssen.
   • Kombinierte Wörterbuch- und Brute-Force-Attacke
     Die hier benutzen Programme werden Hybrid-Cracker genannt. Zusätzlich zum Durchsuchen einer Wortliste werden den Wörtern alle Kombinationen aus einem bestimmten zuvor festgelegten Zeichensatz vorangestellt bzw. angehängt. Möglich ist auch das Ersetzen bestimmter Buchstaben durch Ziffern oder Sonderzeichen (beispielsweise "O" wird in "0" oder "E" wird in "3" geändert. Es genügt also nicht als Passwort ein bekanntes Wort oder einen Namen zu wählen und eine Ziffer und ein Sonderzeichen anzuhängen.