Raus aus dem Kopf, rein in den Tresor. Mehr zum Thema Passwortmanager hier.
Neben den oben genannten Mindestanforderungen für ein Passwort sollten Sie zusätzlich folgende Punkte beachten:
Wie werden Passwörter eigentlich „gehackt“? Wie erstellt man sich ein sicheres Passwort, dass man sich dann auch noch merken kann? Gibt es eine sichere Möglickeit Passwörter zu speichern?
Auf diese und weitere Fragen finden Sie im Anschluss Anworten.
Shoulder Surfing
Vom Shoulder Surfing, frei übersetzt dem „Schultersurfen“, spricht man, wenn Ihnen jemand beispielweise im Zug, am Flughafen oder im Park über die Schulter schaut und Sie bei der Passworteingabe beobachtet. Das kurze Anzeigen der Buchstaben bei der Eingabe von Passwörtern auf dem Smartphone vereinfacht sogar noch das Mitlesen der Passwörter. Achten Sie daher immer darauf, dass bei der Eingabe von sensiblen Informationen, wie Ihrem Passwort, niemand mitlesen kann. Für Laptopbildschirme gibt es spezielle Bildschirmfolien, die ein Mitlesen auf dem Bildschirm erschweren.
Social Engineering
Beim Social Engineering sucht ein Angreifer meist den direkten Kontakt zu seinen potenziellen Opfern und versucht durch Falschaussagen und Täuschungen an vertrauliche Informationen zu gelangen. Unter diesen Punkt fällt auch das Thema Phishing (mehr Informationen finden Sie hier). Aber auch der persönliche Kontakt oder Kontakt über Telefon ist möglich. Angreifer geben sich dann gerne als Support aus, um so an Ihr Passwort zu gelangen. Kein Support, insbesondere nicht der IT-Support, würde nach Ihrem Passwort fragen, weder per E-Mail noch am Telefon. Geben Sie daher niemals Ihr Passwort weiter.
Keylogger
Ein Keylogger landet meist über ein Schadprogramm auf Ihrem Rechner. Ist er erst einmal auf Ihrem Rechner installiert, liest er all Ihre Tastatureingaben mit und sendet diese an den Angreifer. Laden Sie daher keine Software aus dubiosen Internetseiten herunter und öffnen keine Anhänge von unbekannten Absendern.
Mehr über Schadprogramme und wie Sie sich davor schützen finden Sie hier.
Sniffing
Beim Sniffing wird die Netzwerkverbindung und die hierüber übertragenen Daten abgehört. Beim Anmelden auf einer Seite zum Beispiel das eingegebene Passwort. Besonders bei fremden und öffentlichen WLAN-Netzen sollten Sie daher ausschließlich verschlüsselte Verbindungen wie HTTPS nutzen. Aktivieren Sie bei der Verarbeitung universitätsinterner Informationen zudem die VPN-Verbindung zur Universität.
Datenbankhack
Immer wieder kommt es vor, dass Onlinedienste ihre Webseiten und insbesondere ihr Passwortdatenbank nicht ausreichend schützen. Ist die Datenbank mit den Passwörtern nicht verschlüsselt hat ein Angreifer, der Zugriff auf die Datenbank erlangt, ein leichtes Spiel. Häufig werden in der Datenbank zusammen mit den Passwörtern die dazugehörigen Benutzernamen bzw. E-Mailadressen gespeichert. Da für viele Onlinedienste die E-Mailadresse zur Anmeldung dient, kann der Angreifer die Kombination aus E-Mailadresse und Passwort bei weiteren Diensten, wie beispielsweise PayPal, ausprobieren. Daher ist es wichtig, dass Sie für jeden Dienst, den Sie nutzen, ein eigenes Passwort verwenden.
Wörterbuch Attacke
Bei der Wörterbuch Attacke machen es sich Angreifer zu nutzen, dass viele Passwörter aus real existierenden Wörtern bestehen. Hierbei nutzen sie sogenannte Rainbow-Tables, als Listen mit Hash-Werten* von Namen, Orte und Wörtern aus unterschiedlichen Wörterbüchern. Diese Listen sind freizugänglich im Internet zu finden. Im Anschluss muss der Angreifer nur noch die Rainbow-Tables mit dem Hash-Wert des Passwortes vergleichen.
* Hash-Wert: Passwörter werden in Hash-Werte umgewandelt und als solche abspeichert. Diese Werte sind eindeutig und erlauben keinen Rückschluss auf das ursprüngliche Passwort.
Brute-Force Attacke
Übersetzt bedeutet Brute-Force „rohe Gewalt“. Hierbei probiert der Angreifer alle möglichen Zeichenkombination aus, um so das Passwort „zu erraten“. Je nach Länge und Komplexität des Passwortes hat der Angreifer dieses in nur wenigen Sekunden gehackt. Ein langes und komplexes Passwort mit Klein- & Großbuchstaben, Zahlen und Sonderzeichen bietet einen guten Schutz vor dieser Attacke.
Merksätze
Denken Sie sich einen leicht zu merkenden Satz aus:
„Die Strecke zwischen Mannheim und Frankfurt ist größer als 13 Kilometer“
Nehmen Sie jeweils den Anfangsbuchstaben und setzen Sie sich so Ihr Passwort zusammen:
D S z M & F = g a 13 K
Tipp: Ersetzen Sie Wörter durch passende Sonderzeichen (z.B. „und“ wird zu „+“ oder „ist“ wird zu „=“)
Schüttelwörter
Denken Sie sich zwei unabhängige Wörter aus:
Kombinieren Sie diese:
Ändern Sie Groß- und Kleinschreibung mind. 1x willkürlich:
Fügen Sie nun noch Ziffern bzw. Zahlen ein und/
Zum Schluss fügen Sie noch Sonderzeichen hinzufügen und/
Wortkombinationen
Bei dieser Methode nehmen Sie eine zufällige Aneinanderreihung zusammenhangloser Wörter, gerne auch Fantasiewörter, als Passwort.
Achtung: Bitte beachten Sie aber, dass diese Methode nicht für Passwörter der zentralen Kennung geeignet ist, da hier maximal 20 Zeichen erlaubt sind.
Beispiele:
Zentrale Benutzerkennung: Uni-ID
Als Beschäftigte oder Studierende der Universiät Mannheim erhalten Sie eine zentrale Benutzerkennung, die Uni-ID. Diese benötigen Sie unter anderem um auf Ihr E-Mail-Konto, Ilias oder den Fileshare zugreifen zu können.
Mehr Informationen zu Ihrer Uni-ID finden Sie auf id.uni-mannheim.de. Hier können Sie auch eine private E-Mail-Adresse zum Zurücksetzen Ihres Passwortes hinterlegen, falls Sie dieses einmal vergessen. Eine Anleitung finden Sie unter folgendem Link.
Bitte beachten Sie, dass diese Seite nur innerhalb des Netzes der Universität Mannheim erreichbar ist. Von außerhalb benötigen Sie eine VPN-Verbindung.
Besonderer Schutz Ihres E-Mailkontos
Es gibt mehrere Gründe, warum Ihr E-Mailkonto besonderen Schutz und daher ein besonders komplexes und vor allem einzigartiges Passwort benötigt.
Durch das Windows-Passwort verhindern Sie, dass andere Personen Zugriff auf Ihren Rechner und die hierauf gespeicherten Informationen erhalten.
Ändern des Windows Passworts
Was ist ein Passwort Manager?
Ein Passwort Manager ist eine Art Tresor, in welchem man seine Passwörter sicher speichern kann, um bei Bedarf auf sie zugreifen zu können. Je nachdem welcher Passwort Manager genutzt wird, bietet dieser zusätzliche Funktionen, wie die Möglichkeit sich zufällige Passwort generieren zu lassen, Notizen hinzuzufügen oder Idenditäts- und Zahlungsdaten zu hinterlegen.
Welche Vorteile hat Passwort Manager?
Welche Nachteile müssen beachtet werden?
Keepass und dessen Nutzungsvoraussetzungen
Die Universität Mannheim stellt keinen Passwort Manager zentral zur Verfügung, wir empfehlen jedoch den kostenlosen Passwort Manager „KeePass“.
Bei der Verwendung von KeePass auf dem Universitätsrechner sind folgende Nutzungsvoraussetzungen zu beachten:
Eine ausführliche Anleitung zu KeePass finden Sie hier.
Zu diesem Thema bieten wir außerdem in regelmäßigen Abständen eine Schulung an.