Tipps zur Passwortsicherheit

Passwortsicherheit

Raus aus dem Kopf, rein in den Tresor. Mehr zum Thema Passwortmanager hier.

Auf einen Blick

Ein sicheres Passwort ...

  • ist mindestens 12 Zeichen lang
  • enthält Groß-, Kleinbuchstaben, Sonderzeichen & Zahlen
  • ist für den persönlichen Gebrauch und darf nicht mit Dritten geteilt werden
  • ist für jedes verwendete Benutzerkonto einzigartig

Tipp: Je länger Ihr Passwort ist, desto sicherer ist es!

=> Nach einem Virenbefall oder bereits bei Verdacht, dass eines Ihrer Passwörter ausgespäht wurde, sollten Sie dieses sofort ändern.

Weitere nützliche Tipps:

Neben den oben genannten Mindest­anforderungen für ein Passwort sollten Sie zusätzlich folgende Punkte beachten:

  • Ändern Sie umgehend Initial-Passwörter bei der Erstanmeldung.
  • Speichern Sie keine Passwörter unverschlüsselt auf Ihrem Rechner, im Browser oder in externen Cloud-Diensten ab. Auch auf einem Zettel an Ihrem Bildschirm hat ein Passwort nichts zu suchen.
  • Verwenden Sie alte Passwörter nicht wieder.
  • E-Mailkonten oder zentrale Kennungen benötigt besonderen Schutz und daher ein einzigartiges und komplexes Passwort. Weshalb Sie Ihr E-Mailkonto besonders schützen sollten erfahren sie weiter unten.
  • Über­prüfen Sie die Antworten Ihrer Sicherheitsfragen! Kann jemand diese beispielsweise über soziale Netzwerke in Erfahrung bringen?

Fragen rund um das Thema Passwortsicherheit

Wie werden Passwörter eigentlich „gehackt“? Wie erstellt man sich ein sicheres Passwort, dass man sich dann auch noch merken kann? Gibt es eine sichere Möglickeit Passwörter zu speichern?

Auf diese und weitere Fragen finden Sie im Anschluss Anworten.

  • So können Passwörter „gehackt“ werden

    Shoulder Surfing

    Vom Shoulder Surfing, frei übersetzt dem „Schultersurfen“, spricht man, wenn Ihnen jemand beispielweise im Zug, am Flughafen oder im Park über die Schulter schaut und Sie bei der Passworteingabe beobachtet. Das kurze Anzeigen der Buchstaben bei der Eingabe von Passwörtern auf dem Smartphone vereinfacht sogar noch das Mitlesen der Passwörter. Achten Sie daher immer darauf, dass bei der Eingabe von sensiblen Informationen, wie Ihrem Passwort, niemand mitlesen kann. Für Laptopbildschirme gibt es spezielle Bildschirmfolien, die ein Mitlesen auf dem Bildschirm erschweren.


    Social Engineering

    Beim Social Engineering sucht ein Angreifer meist den direkten Kontakt zu seinen potenziellen Opfern und versucht durch Falschaussagen und Täuschungen an vertrauliche Informationen zu gelangen. Unter diesen Punkt fällt auch das Thema Phishing (mehr Informationen finden Sie hier). Aber auch der persönliche Kontakt oder Kontakt über Telefon ist möglich. Angreifer geben sich dann gerne als Support aus, um so an Ihr Passwort zu gelangen. Kein Support, insbesondere nicht der IT-Support, würde nach Ihrem Passwort fragen, weder per E-Mail noch am Telefon. Geben Sie daher niemals Ihr Passwort weiter.


    Keylogger

    Ein Keylogger landet meist über ein Schad­programm auf Ihrem Rechner. Ist er erst einmal auf Ihrem Rechner installiert, liest er all Ihre Tastatureingaben mit und sendet diese an den Angreifer. Laden Sie daher keine Software aus dubiosen Internetseiten her­unter und öffnen keine Anhänge von unbekannten Absendern.

    Mehr über Schad­programme und wie Sie sich davor schützen finden Sie hier.


    Sniffing

    Beim Sniffing wird die Netzwerkverbindung und die hierüber übertragenen Daten abgehört. Beim Anmelden auf einer Seite zum Beispiel das eingegebene Passwort. Besonders bei fremden und öffentlichen WLAN-Netzen sollten Sie daher ausschließlich verschlüsselte Verbindungen wie HTTPS nutzen. Aktivieren Sie bei der Verarbeitung universitäts­interner Informationen zudem die VPN-Verbindung zur Universität.


    Datenbankhack

    Immer wieder kommt es vor, dass Onlinedienste ihre Webseiten und insbesondere ihr Passwortdatenbank nicht ausreichend schützen. Ist die Datenbank mit den Passwörtern nicht verschlüsselt hat ein Angreifer, der Zugriff auf die Datenbank erlangt, ein leichtes Spiel. Häufig werden in der Datenbank zusammen mit den Passwörtern die dazugehörigen Benutzernamen bzw. E-Mailadressen gespeichert. Da für viele Onlinedienste die E-Mailadresse zur Anmeldung dient, kann der Angreifer die Kombination aus E-Mailadresse und Passwort bei weiteren Diensten, wie beispielsweise PayPal, ausprobieren. Daher ist es wichtig, dass Sie für jeden Dienst, den Sie nutzen, ein eigenes Passwort verwenden.


    Wörterbuch Attacke

    Bei der Wörterbuch Attacke machen es sich Angreifer zu nutzen, dass viele Passwörter aus real existierenden Wörtern bestehen. Hierbei nutzen sie sogenannte Rainbow-Tables, als Listen mit Hash-Werten* von Namen, Orte und Wörtern aus unter­schiedlichen Wörterbüchern. Diese Listen sind freizugänglich im Internet zu finden. Im Anschluss muss der Angreifer nur noch die Rainbow-Tables mit dem Hash-Wert des Passwortes vergleichen.

    * Hash-Wert: Passwörter werden in Hash-Werte umgewandelt und als solche abspeichert. Diese Werte sind eindeutig und erlauben keinen Rückschluss auf das ursprüngliche Passwort.


    Brute-Force Attacke

    Über­setzt bedeutet Brute-Force „rohe Gewalt“. Hierbei probiert der Angreifer alle möglichen Zeichenkombination aus, um so das Passwort „zu erraten“. Je nach Länge und Komplexität des Passwortes hat der Angreifer dieses in nur wenigen Sekunden gehackt. Ein langes und komplexes Passwort mit Klein- & Großbuchstaben, Zahlen und Sonderzeichen bietet einen guten Schutz vor dieser Attacke.

  • Methoden zum Erstellen eines sicheren Passworts

    Merksätze

    Denken Sie sich einen leicht zu merkenden Satz aus:

    Die Strecke zwischen Mannheim und Frankfurt ist größer als 13 Kilometer“

    Nehmen Sie jeweils den Anfangsbuchstaben und setzen Sie sich so Ihr Passwort zusammen:

    D S z M & F = g a 13 K

    Tipp: Ersetzen Sie Wörter durch passende Sonderzeichen (z.B. „und“ wird zu „+“ oder „ist“ wird zu „=“)


    Schüttelwörter

    Denken Sie sich zwei unabhängige Wörter aus:

    • Tankstelle & Apfelschorle

    Kombinieren Sie diese:

    • Apfeltankschorle, Tankschorle, Tankapfel, …

    Ändern Sie Groß- und Kleinschreibung mind. 1x willkürlich:

    • taNkSChorle

    Fügen Sie nun noch Ziffern bzw. Zahlen ein und/oder ersetzen Buchstaben:

    • taNk27SChorl3

    Zum Schluss fügen Sie noch Sonderzeichen hinzufügen und/oder ersetzen Buchstaben:

    • t+Nk27_SChorl3

    Wortkombinationen

    Bei dieser Methode nehmen Sie eine zufällige Aneinanderreihung zusammenhangloser Wörter, gerne auch Fantasiewörter, als Passwort.

    Achtung: Bitte beachten Sie aber, dass diese Methode nicht für Passwörter der zentralen Kennung geeignet ist, da hier maximal 20 Zeichen erlaubt sind.

    Beispiele:

    • MondkuchenEinkaufswagenPapageiAtlas
    • weben1001dunkel&SN-Konsole
    • Gedankenstütze Thema „Aladdin/1001 Nacht“:
      • weben: fliegender Teppich
      • 1001: 1001 Nacht
      • dunkel: Nacht
      • SN-Konsole: Supernintendo Spiel
  • Zentrale Benutzerkennung

    Zentrale Benutzerkennung: Uni-ID

    Als Beschäftigte oder Studierende der Universiät Mannheim erhalten Sie eine zentrale Benutzerkennung, die Uni-ID. Diese benötigen Sie unter anderem um auf Ihr E-Mail-Konto, Ilias oder den Fileshare zugreifen zu können.

    Mehr Informationen zu Ihrer Uni-ID finden Sie auf id.uni-mannheim.de.  Hier können Sie auch eine private E-Mail-Adresse zum Zurücksetzen Ihres Passwortes hinterlegen, falls Sie dieses einmal vergessen. Eine Anleitung finden Sie unter folgendem Link.

    Bitte beachten Sie, dass diese Seite nur innerhalb des Netzes der Universität Mannheim erreichbar ist. Von außerhalb benötigen Sie eine VPN-Verbindung.

  • E-Mailkonto

    Besonderer Schutz Ihres E-Mailkontos

    Es gibt mehrere Gründe, warum Ihr E-Mailkonto besonderen Schutz und daher ein besonders komplexes und vor allem einzigartiges Passwort benötigt.

    • Der Zugang zum E-Mailkonto ermöglicht es einem Angreifer Passwörter von anderen Diensten zurückzusetzen. So erhält dieser Zugriff auf die Dienste und alle dort befindlichen Daten.
    • E-Mailadressen werden häufig als Login für weitere Dienste verwendet. Ist das Passwort der Dienste identisch, hat der Angreifer leichtes Spiel, sich überall anzumelden.
    • Angreifer erhalten über gehackte E-Mailkonten Informationen über Kommunikations­partner.
  • Windows Passwort

    Durch das Windows-Passwort verhindern Sie, dass andere Personen Zugriff auf Ihren Rechner und die hierauf gespeicherten Informationen erhalten.

    Ändern des Windows Passworts

    • Um Ihr Passwort auf dem lokalen Rechner zu ändern, drücken Sie gleichzeitig die Tasten „Strg+Alt+Entf“ und wählen Sie den Punkt „Kennwort ändern“ aus.
    • Sie müssen anschließend einmal das alte und zweimal Ihr neues Passwort eingeben.
  • Passwort Manager

    Was ist ein Passwort Manager?

    Ein Passwort Manager ist eine Art Tresor, in welchem man seine Passwörter sicher speichern kann, um bei Bedarf auf sie zugreifen zu können. Je nachdem welcher Passwort Manager genutzt wird, bietet dieser zusätzliche Funktionen, wie die Möglichkeit sich zufällige Passwort generieren zu lassen, Notizen hinzuzufügen oder Idenditäts- und Zahlungs­daten zu hinterlegen.


    Welche Vorteile hat Passwort Manager?

    • Man muss sich nur noch ein Passwort, das Hauptpasswort, merken, um auf alle anderen Passwörter zugreifen zu können.
    • Da man sich die einzelnen Passwörter nicht mehr merken muss, ist es einfach, sich für jedes Benutzerkonto ein individuelles Passwort zu erstellen.
    • Durch den häufig eingebauten Passwortgenerator kann man sich komplexe, zufällige und sichere Passwörter erstellen lassen.
    • Viele Passwort Manager ermöglichen eine Zwei-Faktor-Authentifizierung mittels einer Schlüsseldatei.

    Welche Nachteile müssen beachtet werden?

    • Vergisst man sein Hauptpasswort, verliert die Schlüsseldatei oder die ganze Datenbank, dann hat man keinen Zugriff mehr auf alle seine Passwörter. Daher ist es wichtig Sicherungs­kopien der Schlüsseldatei und Datenbank zu erstellen.
    • Sollte einer anderen Person das Hauptpasswort bekannt werden, erlangt diese Zugriff auf alle Passwörter. Daher ist besonders bei dem Hauptpasswort darauf zu achten, dass dieses komplex und sicher ist.

    Keepass und dessen Nutzungs­voraussetzungen

    Die Universität Mannheim stellt keinen Passwort Manager zentral zur Verfügung, wir empfehlen jedoch den kostenlosen Passwort Manager „KeePass“.

    Bei der Verwendung von KeePass auf dem Universitäts­rechner sind folgende Nutzungs­voraussetzungen zu beachten:

    • Hauptpasswort: min. 12 Zeichen, Groß- & Kleinbuchstaben, Sonderzeichen & Zahlen
    • Passwortdatenbank: nur für einen selbst zugreifbar
    • Sicherung: Backup der Passwortdatenbank und ggf. Schlüsseldatei muss sichergestellt sein
    • Clouddienste: NICHT für die Sicherung oder Synchronisation der Passwortdatenbank verwenden

    Eine ausführliche Anleitung zu KeePass finden Sie hier.


Zu diesem Thema bieten wir außerdem in regelmäßigen Abständen eine Schulung an.

Schulungs­übersicht