Das meistgenutzte Verfahren zur Authentifizierung von Benutzern ist der Einsatz von Passwörtern. Ihre Aufgabe ist primär der Schutz vor unbefugtem Zugriff und Missbrauch. Damit sie diese Aufgabe wirksam erfüllen können, sind verschiedene Regeln zu beachten, die sie auch in unseren Passwortfestlegungen finden. Hier sind Sie als Nutzer gefragt. Die Masse der Missbrauchsfälle wurde und wird durch (berechtigte) Nutzer durch Unkenntnis oder leichtfertiges Verhalten (mit-)verschuldet. Um Ihnen hier Handlungssicherheit zu geben haben wir die notwendigen Handlungsanweisungen publiziert.
Viele fragen sich, was das alles eigentlich soll, halten die Maßnahmen für schier übertrieben und verweisen darauf, dass Sie nichts besonders Schützenswertes auf Ihrem Rechner hätten. Beim Passwortdiebstahl geht es aber nicht nur um die spezifischen Daten des jeweiligen Nutzers, sondern auch um eine unautorisierte Nutzung von Ressourcen.
Mögliche Folgen eines erfolgreichen Passwortdiebstahls sind:
Bei unseren Vorgaben orientieren wir uns an den Empfehlungen des BSI: Link
Die Wahl eines ausreichend sicheren und langen Passwortes erschwert es einem Angreifer das Passwort zu entschlüsseln. Einfache Entschlüsselungsverfahren werden wirkungslos, dass heißt aber nicht, dass Ihr Passwort gar nicht entschlüsselt werden kann.
Sollte Ihr Passwort einmal entschlüsselt sein, kann ein Angreifer es nur im Zeitraum seiner Gültigkeit nutzen, hier also maximal 365 Tage (= eine schon sehr lange Zeitspanne), danach ist es wertlos.
Die Zeit die ein jemand benötigt, um Ihr Passwort zu entschlüsseln, hängt neben der Wahl des Passwortes (d.h. dem nutzbarem Zeichenvorrat und der Länge), von dem Verfahren und der eingesetzten Technik ab.
Ein weiterer häufig übersehener Aspekt ist die gerade in jüngster Zukunft gehäuft publik gewordenen Diebstähle sensibler Daten in erheblichen Größenordnungen durch Hacks prominenter Online-Dienste (Dropbox, LinkedIn, Yahoo etc.). Zwischen dem eigentlichen Datendiebstahl und der öffentlichen Verbreitung der gestohlenen Daten lagen mitunter Jahre. Wurde das zum Zeitpunkt des Datendiebstahls aktive Passwort bereits geändert sind die gestohlenen Daten heute wertlos, wenn nicht, können die gewonnen Informationen für alle möglichen kriminellen Handlungen im Internet missbraucht werden. Wurden bei dem externen kompromittierten IT-Dienst - entgegen der verbindlichen Vorgaben - die gleichen Zugangsdaten, wie an der Bauhaus-Universität verwendet, ist auch hier ein Missbrauch möglich. Die Wahl des gleichen Passwortes für verschiedenen IT-Dienste lässt sich technisch nicht verhindern, hier müsste an andere Authentifizierungsart (Mehr-Faktor-Authentifizierung = technisch anspruchsvoll, wenn für alle Dienste wirksam und Ressourcenintensiv) gewählt werden. Dass sich alle Nutzer durch Vereinfachungen der Regeln bzw. Anforderungen oder Sensibilisierung stets sicherheitsbewusst und regelkonform verhalten, ist unrealistisches Wunschdenken.
Ein einzelner kompromittierter Uni-Account reicht aus, um beispielsweise den E-Mail-Verkehr der gesamten Universität empfindlich zu stören.
Die an der Bauhaus-Universität Weimar verbindlichen Passwortregeln orientieren sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), einer anerkannten, zentralen, unabhängigen und neutralen Institution in Deutschland, sich mit Fragen zur IT-Sicherheit befasst:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2011/Passwortsicherheit_27012011.html
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
Ein anerkannter internationaler Standard, der unsere Forderungen stützt, ist die ISO/IEC 27002 Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management, Abschnitt 11.3.1 Passwortverwendung.
Die Einschränkungen nutzbarer Sonderzeichen sind festgestellten Problemen bei einzelnen verarbeitenden Systemen geschuldet.
