Sinn und Zweck unserer Passwortregeln

Passwortregeln wirken meist kompliziert und aufwendig. Viele fragen sich daher, was das alles eigentlich soll, halten die Maßnahmen für schier übertrieben und verweisen darauf, dass Sie nichts besonders Schützenswertes auf Ihrem Rechner hätten. Beim Passwortdiebstahl geht es aber nicht nur um die spezifischen Daten des jeweiligen Nutzenden, sondern auch um eine unautorisierte Nutzung von Ressourcen. Hier erläutern wir, warum unsere Passwort-Richtlinien sinnvoll und notwendig sind. 

Warum sollten ausreichend sichere und lange Passwörter gewählt werden?

Das meistgenutzte Verfahren zur Authentifizierung von Benutzer*innen ist der Einsatz von Passwörtern. Ihre Aufgabe ist primär der Schutz vor unbefugtem Zugriff und Missbrauch. Damit sie diese Aufgabe wirksam erfüllen können, sind verschiedene Regeln zu beachten, die sie auch in unseren Passwort-Richtlinien  finden.
Hier sind Sie als Nutzende gefragt. Die Masse der Missbrauchsfälle wurde und wird durch (berechtigte) Nutzende durch Unkenntnis oder leichtfertiges Verhalten (mit-)verschuldet. So reicht z.B. ein einzelner kompromittierter Uni-Account aus, um beispielsweise den E-Mail-Verkehr der gesamten Universität empfindlich zu stören. Um Ihnen hier Handlungssicherheit zu geben, haben wir die notwendigen Handlungsanweisungen publiziert.


Mögliche Folgen eines erfolgreichen Passwortdiebstahls

Im Falle eines Passwortdiebstahls kann dies die hier genannten Folgen haben:

  • Ein unbefugter Informationsgewinn durch das Lesen Ihrer Mails und Dokumente,
  • das Verfälschen oder Löschen Ihrer Daten,
  • das Ändern Ihres Passworts, mit der Folge, dass Sie keinen Zugriff mehr auf das System haben.
  • Die Nutzung Ihrer Zugangsdaten zur Verschleierung der eigenen Identität, um unerlaubte oder strafbare Handlungen zu begehen, denkbar sind hier:
    • die Publikation von rechtswidrigen, beleidigenden oder obszönen Inhalten per Mail in Ihrem Namen
    • der Zugriff auf strafbare Inhalte im Internet mit Ihrem Log-In
    • das Herunterladen oder der Tausch von urheberrechtlich geschützten Werken (Musik, Software, elektronische Publikationen)
    • das Einschleusen von Viren, Würmern und Trojanischen Pferden und dadurch die Beeinträchtigung weiterer Nutzenden oder auch externer Stellen, mit einem möglichen Imageschaden für die Universität
    • Versand von Spam- und Phishing-E-Mails
    • betrügerische Aktionen auf Handelsplattformen im Internet
    • terroristische oder extremistische Aktionen
    • ...
  • das absichtliche Platzieren von illegalen Inhalten in Ihrem Verzeichnis mit der Gewährung eines öffentlichen Zugriffs und der gleichzeitigen Information verantwortlicher Stellen um Ihnen bewusst zu schaden.
    Der Verdacht der Strafverfolgungsbehörden würde automatisch auf Sie fallen und Sie müssten beweisen, dass Sie die Straftatbestände nicht begangen haben.


Wie kann der Passwortschutz ausgehebelt werden?

  1. Durch Ausprobieren/Erraten
    Durch das Eingeben eines geratenen Passwortes wird versucht sich Zugang zu verschaffen. Das Verfahren ist wenig effizient und bietet nur bei leicht zu erratenden Passwörtern Aussicht auf Erfolg und wird daher eher weniger genutzt. Diese Methode erfordert kein technisches Know-How und keine zusätzlichen Tools. Gerade bei weniger einfallsreichen bzw. für das Thema kaum sensibilisierten Personen in Verbindung mit fehlenden technischen Restriktionen kann diese Methode bereits ausreichen.
  2. Durch den Einsatz von Passwort-Crack-Programmen
    Effizienter und somit wahrscheinlicher ist die Nutzung von frei verfügbaren und leicht zu bedienenden Passwort-Crack-Programmen, die mit verschiedenen Methoden versuchen an das verschlüsselt abgelegte Passwort zu kommen.
    • Wörterbuch-Attacke
      Hier werden Crack-Programme eingesetzt, die auf eine Wortliste zurückgreifen, in der viele bekannte Wörter hinterlegt sind. Das Programm probiert die enthaltenen Wörter nacheinander durch. Ein leistungsfähiger Rechner kann selbst eine sehr mächtige Liste (eine Textdatei die mehrere MB groß ist) in wenigen Stunden abarbeiten und alle Passwörter finden, die in der Wortliste enthalten sind. Denkbar ist auch das aneinanderreihen von bekannten Wörtern, um so längere Passwörter die entsprechend gebildet wurden zu ermitteln. Einen wirkungsvollen Schutz erreicht man dadurch, dass man keine bekannten Wörter und Namen benutzt.
    • Brute-Force-Attacke
      Bei diesem Verfahren werden ausgehend von einem bestimmten Zeichenvorrat alle möglichen Kombinationen der Zeichen durchprobiert. Das Programm ist theoretisch in der Lage jedes beliebige Passwort zu finden. Die benötigte Zeit um zum Erfolg zu kommen ist abhängig von der Länge des Passwortes und dem verwendeten Zeichenvorrat und kann so extrem lange dauern. Das ist der Grund, warum die Passwörter an der Bauhaus-Universität acht Zeichen lang sein sollen und mindestens ein Sonderzeichen und eine Ziffer enthalten müssen.
    • Kombinierte Wörterbuch- und Brute-Force-Attacke
      Die hier benutzen Programme werden Hybrid-Cracker genannt. Zusätzlich zum Durchsuchen einer Wortliste werden den Wörtern alle Kombinationen aus einem bestimmten zuvor festgelegten Zeichensatz vorangestellt bzw. angehängt. Möglich ist auch das Ersetzen bestimmter Buchstaben durch Ziffern oder Sonderzeichen (beispielsweise "O" wird in "0" oder "E" wird in "3" geändert. Es genügt also nicht als Passwort ein bekanntes Wort oder einen Namen zu wählen und eine Ziffer und ein Sonderzeichen anzuhängen.
  3. Durch das Nutzen von Daten aus (veröffentlichten) Datendiebstählen
  4. Als Folge der Preisgabe vertraulicher Informationen durch Social Engineering oder Phishing
  5. Durch das Ausspähen des Passwortes bei Eingabe oder wenn es sichtbar notiert wurde 
  6. ...

Woher stammen unsere Passwortregeln?

Die an der Bauhaus-Universität Weimar verbindlichen Passwort-Richtlinien orientieren sich an den Empfehlungen des BSI und NIST.