Sinn und Zweck unserer Passwortregeln

Passwortregeln wirken meist kompliziert und aufwendig. Viele fragen sich daher, was das alles eigentlich soll, halten die Maßnahmen für schier übertrieben und verweisen darauf, dass Sie nichts besonders Schützenswertes auf Ihrem Rechner hätten. Beim Passwortdiebstahl geht es aber nicht nur um die spezifischen Daten des jeweiligen Nutzenden, sondern auch um eine unautorisierte Nutzung von Ressourcen. Hier erläutern wir, warum unsere Passwort-Richtlinien sinnvoll und notwendig sind. 

Das meistgenutzte Verfahren zur Authentifizierung von Benutzer*innen ist der Einsatz von Passwörtern. Ihre Aufgabe ist primär der Schutz vor unbefugtem Zugriff und Missbrauch. Damit sie diese Aufgabe wirksam erfüllen können, sind verschiedene Regeln zu beachten, die sie auch in unseren Passwort-Richtlinien  finden.
Hier sind Sie als Nutzende gefragt. Die Masse der Missbrauchsfälle wurde und wird durch (berechtigte) Nutzende durch Unkenntnis oder leichtfertiges Verhalten (mit-)verschuldet. So reicht z.B. ein einzelner kompromittierter Uni-Account aus, um beispielsweise den E-Mail-Verkehr der gesamten Universität empfindlich zu stören. Um Ihnen hier Handlungssicherheit zu geben, haben wir die notwendigen Handlungsanweisungen publiziert.

Im Falle eines Passwortdiebstahls kann dies die hier genannten Folgen haben:

• Ein unbefugter Informationsgewinn durch das Lesen Ihrer Mails und Dokumente,
• das Verfälschen oder Löschen Ihrer Daten,
• das Ändern Ihres Passworts, mit der Folge, dass Sie keinen Zugriff mehr auf das System haben.
• Die Nutzung Ihrer Zugangsdaten zur Verschleierung der eigenen Identität, um unerlaubte oder strafbare Handlungen zu begehen, denkbar sind hier:
• die Publikation von rechtswidrigen, beleidigenden oder obszönen Inhalten per Mail in Ihrem Namen
• der Zugriff auf strafbare Inhalte im Internet mit Ihrem Log-In
• das Herunterladen oder der Tausch von urheberrechtlich geschützten Werken (Musik, Software, elektronische Publikationen)
• das Einschleusen von Viren, Würmern und Trojanischen Pferden und dadurch die Beeinträchtigung weiterer Nutzenden oder auch externer Stellen, mit einem möglichen Imageschaden für die Universität
• Versand von Spam- und Phishing-E-Mails
• betrügerische Aktionen auf Handelsplattformen im Internet
• terroristische oder extremistische Aktionen
• ...
• das absichtliche Platzieren von illegalen Inhalten in Ihrem Verzeichnis mit der Gewährung eines öffentlichen Zugriffs und der gleichzeitigen Information verantwortlicher Stellen um Ihnen bewusst zu schaden.
  Der Verdacht der Strafverfolgungsbehörden würde automatisch auf Sie fallen und Sie müssten beweisen, dass Sie die Straftatbestände nicht begangen haben.

Die Wahl eines ausreichend sicheren und langen Passwortes erschwert es einem Angreifer das Passwort zu entschlüsseln. Einfache Entschlüsselungsverfahren werden wirkungslos, dass heißt aber nicht, dass Ihr Passwort gar nicht entschlüsselt werden kann. Sollte Ihr Passwort einmal entschlüsselt sein, kann ein Angreifer es nur im Zeitraum seiner Gültigkeit nutzen, hier also maximal 365 Tage (= eine schon sehr lange Zeitspanne), danach ist es wertlos. Die Zeit die jemand benötigt, um Ihr Passwort zu entschlüsseln, hängt neben der Wahl des Passwortes (d.h. dem nutzbarem Zeichenvorrat und der Länge), von dem Verfahren und der eingesetzten Technik ab.
Ein weiterer häufig übersehener Aspekt ist die gerade in jüngster Zukunft gehäuft publik gewordenen Diebstähle sensibler Daten in erheblichen Größenordnungen durch Hacks prominenter Online-Dienste (Dropbox, LinkedIn, Yahoo etc.). Zwischen dem eigentlichen Datendiebstahl und der öffentlichen Verbreitung der gestohlenen Daten lagen mitunter Jahre. Wurde das zum Zeitpunkt des Datendiebstahls aktive Passwort bereits geändert sind die gestohlenen Daten heute wertlos, wenn nicht, können die gewonnen Informationen für alle möglichen kriminellen Handlungen im Internet missbraucht werden.
Wurden bei dem externen kompromittierten IT-Dienst - entgegen der verbindlichen Vorgaben - die gleichen Zugangsdaten, wie an der Bauhaus-Universität verwendet, ist auch hier ein Missbrauch möglich. Die Wahl des gleichen Passwortes für verschiedenen IT-Dienste lässt sich technisch nicht verhindern, hier müsste an andere Authentifizierungsart (Mehr-Faktor-Authentifizierung = technisch anspruchsvoll, wenn für alle Dienste wirksam und Ressourcenintensiv) gewählt werden. Dass sich alle Nutzenden durch Vereinfachungen der Regeln bzw. Anforderungen oder Sensibilisierung stets sicherheitsbewusst und regelkonform verhalten, ist unrealistisches Wunschdenken.
Der gerne postulierten Annahme, dass sich Personen ein sicheres Passwort geben, wenn sie es nicht ändern müssen, widersprechen die Listen der beliebtesten Passwörter, wie beim Hasso Plattner Institut (HPI) publiziert oder ein Blick in reale Passwort-Leaks von Diensten, bei denen das Passwort nicht regelmäßig geändert werden muss. 
Im eigenen Zuständigkeitsbereich kann das Setzen eines potentiell unsicheren Passwortes durch das technische Erzwingen von Vorgaben verhindert werden (Minimallänge, Komplexität, Historie, Ausschluss von Trivialpasswörtern). Die Verringerung der Komplexität zu Gunsten der Passwortlänge könnte im ungünstigsten Fall dazu führen, dass das verwende Passwort einfach erraten werden kann. Die theoretisch berechenbare Passwortgüte wäre damit hinfällig.

1. Durch Ausprobieren/Erraten
   Durch das Eingeben eines geratenen Passwortes wird versucht sich Zugang zu verschaffen. Das Verfahren ist wenig effizient und bietet nur bei leicht zu erratenden Passwörtern Aussicht auf Erfolg und wird daher eher weniger genutzt. Diese Methode erfordert kein technisches Know-How und keine zusätzlichen Tools. Gerade bei weniger einfallsreichen bzw. für das Thema kaum sensibilisierten Personen in Verbindung mit fehlenden technischen Restriktionen kann diese Methode bereits ausreichen.
2. Durch den Einsatz von Passwort-Crack-Programmen
   Effizienter und somit wahrscheinlicher ist die Nutzung von frei verfügbaren und leicht zu bedienenden Passwort-Crack-Programmen, die mit verschiedenen Methoden versuchen an das verschlüsselt abgelegte Passwort zu kommen.
   
   • Wörterbuch-Attacke
     Hier werden Crack-Programme eingesetzt, die auf eine Wortliste zurückgreifen, in der viele bekannte Wörter hinterlegt sind. Das Programm probiert die enthaltenen Wörter nacheinander durch. Ein leistungsfähiger Rechner kann selbst eine sehr mächtige Liste (eine Textdatei die mehrere MB groß ist) in wenigen Stunden abarbeiten und alle Passwörter finden, die in der Wortliste enthalten sind. Denkbar ist auch das aneinanderreihen von bekannten Wörtern, um so längere Passwörter die entsprechend gebildet wurden zu ermitteln. Einen wirkungsvollen Schutz erreicht man dadurch, dass man keine bekannten Wörter und Namen benutzt.
   • Brute-Force-Attacke
     Bei diesem Verfahren werden ausgehend von einem bestimmten Zeichenvorrat alle möglichen Kombinationen der Zeichen durchprobiert. Das Programm ist theoretisch in der Lage jedes beliebige Passwort zu finden. Die benötigte Zeit um zum Erfolg zu kommen ist abhängig von der Länge des Passwortes und dem verwendeten Zeichenvorrat und kann so extrem lange dauern. Das ist der Grund, warum die Passwörter an der Bauhaus-Universität acht Zeichen lang sein sollen und mindestens ein Sonderzeichen und eine Ziffer enthalten müssen.
   • Kombinierte Wörterbuch- und Brute-Force-Attacke
     Die hier benutzen Programme werden Hybrid-Cracker genannt. Zusätzlich zum Durchsuchen einer Wortliste werden den Wörtern alle Kombinationen aus einem bestimmten zuvor festgelegten Zeichensatz vorangestellt bzw. angehängt. Möglich ist auch das Ersetzen bestimmter Buchstaben durch Ziffern oder Sonderzeichen (beispielsweise "O" wird in "0" oder "E" wird in "3" geändert. Es genügt also nicht als Passwort ein bekanntes Wort oder einen Namen zu wählen und eine Ziffer und ein Sonderzeichen anzuhängen.
3. Durch das Nutzen von Daten aus (veröffentlichten) Datendiebstählen
4. Als Folge der Preisgabe vertraulicher Informationen durch Social Engineering oder Phishing
5. Durch das Ausspähen des Passwortes bei Eingabe oder wenn es sichtbar notiert wurde 
6. ...

Die an der Bauhaus-Universität Weimar verbindlichen Passwort-Richtlinien orientieren sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Hierbei handelt es sich um eine anerkannte, zentrale, unabhängige und neutrale Institution in Deutschland, die sich mit Fragen zur IT-Sicherheit befasst.

Ein anerkannter internationaler Standard, der unsere Forderungen stützt, ist die ISO/IEC 27002 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management, Abschnitt 11.3.1 Passwortverwendung.