Sichere Passwörter

Gefahren für Passwörter

Zugangsdaten, also die Kombination aus Nutzendennamen und Passwörtern, sind die am weitesten verbreitete Methode, um sich bei zugriffsgeschützten Geräten wie dem eigenen Computer oder persönlichen Diensten (Cloud-Diensten, E-Mail-Anbietern, Online-Shops etc.) anzumelden. Dies macht Zugangsdaten für Angreifende interessant, denn sie könnten mit diesen

  • teure Waren oder Dienstleistungen auf Ihre Kosten bestellen,
  • Prüfungen für Sie an- oder abmelden,
  • Ihre Freunde und Bekannte "angreifen" (Rufschädigung),
  • auf Ihre Informationen in Cloud-Speichern zugreifen oder diese manipulieren,
  • oder Ihre E-Mails mitlesen und in Ihrem Namen E-Mails verschicken.

Kriminelle versuchen meistens mit Hilfe von Schadsoftware, Angriffen auf Dienste oder Phishing an Zugangsdaten zu gelangen oder schwache Passwörter durch automatisiertes Ausprobieren, sogenannte Brute-Force-Angriffe, zu erraten.

  • Empfehlungen für sichere Passwörter

    Um sichere Passwörter zu wählen, müssen die folgenden Anforderungen beachtet werden:

    • Passwörter sollten mindestens 12 Zeichen lang sein, je länger, desto besser
      (Ausnahme: mindestens 20 Zeichen bei offline angreifbaren Verschlüsselungsverfahren, wie z. B. WPA2 für WLAN-Zugriffe).
    • Passwörter sollten immer eine Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (z. B. ?!%+…) sein.
    • Passwörter sollten nicht in Wörterbüchern gefunden werden können.
    • Ebenso sollten Passwörter nicht einfach Namen von Familienmitgliedern, Freunden oder Lieblingsstars sein. Auch andere persönliche Informationen, wie z. B. Geburtsdaten, sind nicht zu empfehlen.
    • Passwörter sollten nicht aus Wiederholungs- oder Tastaturmustern bestehen (z. B. 1234abcd, asdfgh, 1111aaaa).
    • Simple Änderungen, wie z. B. das Voranstellen oder Anhängen von einzelnen Ziffern oder Sonderzeichen, sind berechenbar und sollten nicht genutzt werden.

     

    Auch beim Umgang mit Passwörtern sollten einige wichtige Empfehlungen beachtet werden:

    • Verwenden Sie für unterschiedliche Dienste (Uni, Amazon, Google, eBay etc.) unterschiedliche Passwörter.
    • Geben Sie Ihr Uni-Passwort nur auf Uni-Webseiten ein. Prüfen Sie im Zweifel vor der Eingabe die Echtheit der Webseite.
    • Geben Sie Ihre Passwörter nur auf verschlüsselten und vertrauenswürdigen Webseiten ein.
    • Geben Sie Passwörter nur auf vertrauenswürdigen Geräten ein, die mit den grundsätzlichen Sicherheitsmaßnahmen (Antivirus-Software und Firewall) versehen sind.
    • Geben Sie Passwörter nie an Dritte weiter (auch nicht an Mitarbeitende der Universität oder des CIT der Universität Münster). Kein Unternehmen wird Sie dazu auffordern, Ihr Passwort telefonisch oder per E-Mail zu übermitteln.
    • Ändern Sie voreingestellte Passwörter.
    • Notieren Sie Passwörter nicht auf Notizzetteln, die z. B. an Ihrem Bildschirm kleben, oder in unverschlüsselten Textdateien.
    • Sollten Sie eine Liste mit Ihren Passwörtern zur Sicherheit anlegen wollen, lagern Sie diese an einem für Dritte unerreichbaren, sicheren Ort, wie z. B. einem Safe.
    • Sollte Ihr Passwort bekannt geworden sein, ändern Sie es unverzüglich oder lassen Sie Ihren Zugang sperren. Für Zugangsdaten der Universität können Sie Ihr Passwort im IT-Portal ändern oder Ihren Zugang am Serviceschalter bzw. bei der Servicehotline sperren lassen.

  • Zwei-Faktor-Authentifizierung

    Eine gute Möglichkeit für zusätzlichen Schutz Ihrer Zugänge ist die Nutzung von Zwei-Faktor-Authentifizierung. Immer mehr Dienste bieten diese Möglichkeit an, u. a. das IT-Portal, Google, Apple, Microsoft, Dropbox oder Amazon. Bei der Nutzung von Zwei-Faktor-Authentifizierung werden Sie bei der Anmeldung dazu aufgefordert, Ihre Identität mittels eines anderen Faktors zu bestätigen. Häufig werden dafür kurze Zahlencodes verwendet, die nur eine sehr kurze Zeitspanne lang gültig sind und z. B. per App, E-Mail oder SMS zugestellt werden.

    Die Universität Münster setzt für Authentifizierungszwecke in immer mehr Diensten (Cisco AnyConnect VPN, VDI, IT-Portal, …) Zwei-Faktor-Authentifizierung ein. Als zweiter Faktor wird dabei ein Einmalpasswort (One-Time-Password = OTP) verwendet. Jedes OTP ist nur für eine einmalige Verwendung gültig und kann somit kein zweites Mal benutzt werden. Zur Erzeugung solcher Einmalpasswörter benötigen Sie einen Einmalpasswort-Generator, beispielsweise „Google Authenticator“, welchen Sie als App auf Ihrem Smartphone installieren können.

    Hier finden Sie eine kurze Zusammenstellung von häufig gestellten Fragen zu OTP: FAQ OTP.

    Anleitungen zur Einrichtung und Empfehlungen für OPT-Generatoren für verschiedene Betriebssysteme finden Sie unter OTP.

  • Passwort-Verwaltungsprogramm

    Um sichere Passwörter zu verwalten, ohne sich alle merken zu müssen, kann ein Passwort-Verwaltungsprogramm sehr hilfreich sein, z. B. KeePass. Bei der Nutzung werden Ihre Passwörter verschlüsselt in einer Passwortdatenbank gespeichert und Sie müssen sich nur noch ein sicheres Passwort merken, mit dem die Passwortdatenbank verschlüsselt ist. Bei einem sicheren Passwort ist die Verschlüsselung gut genug, um die Passwortdatenbank auch in Cloud-Speichern (beispielsweise sciebo) abzulegen, sodass man von überall Zugriff auf seine Passwörter hat.

  • Passwortgenerator

    Es gibt viele Möglichkeiten, wie sichere Passwörter erzeugt werden können. Einige Möglichkeiten stellen wir Ihnen mit unserem Passwortgenerator vor. Ein eingebauter Passwortcheck hilft Ihnen bei der Wahl des passenden Passworts.

  • Zusätzliche Informationen

    Weitere Informationen rund um das Thema Passwörter finden Sie beim BSI.

    Sie können außerdem mit den folgenden Diensten überprüfen, ob Ihre E-Mail-Adressen in Passwortlisten, die von Angreifenden erbeutet wurden, auftauchen:

    HPI Identity Leak Checker

    Have I Been Pwned [en]