Tipps zur Passwortsicherheit

Foto: Informations­sicherheitsteam

Passwortsicherheit

Passwörter sind aus unserem Alltag nicht mehr weg zu denken. Angefangen bei der Anmeldung am E-Mailpostfach bis hin zum Entsperren des Smartphones. Passwörter und PINs sind überall vertreten. Umso wichtiger ist es, dass man sichere Passwörter verwendet. Doch wie sieht ein sicheres Passwort aus und wie merkt man sich die große Zahl an Passwörtern? Antworten hierauf und auf viele weitere Fragen rund um das Thema Passwörter finden Sie auf dieser Seite.

Zu diesem Thema bieten wir außerdem in regelmäßigen Abständen eine Schulung an.

Schulungs­übersicht

 

Präsentierender Mann
Foto: Anna Logue
Auf einen Blick

Ein sicheres Passwort ...

  • ist mindestens 10 Zeichen lang
  • enthält Groß-, Kleinbuchstaben, Sonderzeichen & Zahlen
  • ist nur einem selbst bekannt
  • ist für jedes verwendete Benutzerkonto einzigartig

Tipp: Je länger Ihr Passwort ist, desto sicherer ist es!


Weitere nützliche Tipps:

Neben den oben genannten Mindest­anforderungen für ein Passwort sollten Sie zusätzlich folgende Punkte beachten:

  • Ihr E-Mailkonto benötigt besonderen Schutz und daher ein einzigartiges und komplexes Passwort. Weshalb Sie Ihr E-Mailkonto besonders schützen sollten erfahren sie weiter unten.
  • Ändern Sie umgehend Initial-Passwörter bei der Erstanmeldung.
  • Speichern Sie keine Passwörter unverschlüsselt auf Ihrem Rechner, im Browser oder in externen Cloud-Diensten ab. Auch auf einem Zettel an Ihrem Bildschirm hat ein Passwort nichts zu suchen.
  • Überprüfen Sie die Antworten Ihrer Sicherheitsfragen! Kann jemand diese beispielsweise über soziale Netzwerke in Erfahrung bringen?
  • Nach einem Virenbefall oder bereits bei Verdacht, dass eines Ihrer Passwörter ausgespäht wurde, sollten Sie dieses sofort ändern.
  • Verwenden Sie alte Passwörter nicht wieder.

Fragen rund um das Thema Passwortsicherheit

Wie werden Passwörter eigentlich „gehackt“? Wie erstellt man sich ein sicheres Passwort, dass man sich dann auch noch merken kann? Gibt es eine sichere Möglickeit Passwörter zu speichern?

Auf diese und weitere Fragen finden Sie im Anschluss Anworten.

  • So können Passwörter „gehackt“ werden

    Shoulder Surfing

    Vom Shoulder Surfing, frei übersetzt dem „Schultersurfen“, spricht man, wenn Ihnen jemand beispielweise im Zug, am Flughafen oder im Park über die Schulter schaut und Sie bei der Passworteingabe beobachtet. Das kurze Anzeigen der Buchstaben bei der Eingabe von Passwörtern auf dem Smartphone vereinfacht sogar noch das Mitlesen der Passwörter. Achten Sie daher immer darauf, dass bei der Eingabe von sensiblen Informationen, wie Ihrem Passwort, niemand mitlesen kann. Für Laptopbildschirme gibt es spezielle Bildschirmfolien, die ein Mitlesen auf dem Bildschirm erschweren.


    Social Engineering

    Beim Social Engineering sucht ein Angreifer meist den direkten Kontakt zu seinen potenziellen Opfern und versucht durch Falschaussagen und Täuschungen an vertrauliche Informationen zu gelangen. Unter diesen Punkt fällt auch das Thema Phishing (mehr Informationen finden Sie hier). Aber auch der persönliche Kontakt oder Kontakt über Telefon ist möglich. Angreifer geben sich dann gerne als Support aus, um so an Ihr Passwort zu gelangen. Kein Support, insbesondere nicht der RUM-Support, würde nach Ihrem Passwort fragen, weder per E-Mail noch am Telefon. Geben Sie daher niemals Ihr Passwort weiter.


    Keylogger

    Ein Keylogger landet meist über ein Schad­programm auf Ihrem Rechner. Ist er erst einmal auf Ihrem Rechner installiert, liest er all Ihre Tastatureingaben mit und sendet diese an den Angreifer. Laden Sie daher keine Software aus dubiosen Internetseiten her­unter und öffnen keine Anhänge von unbekannten Absendern.

    Mehr über Schad­programme und wie Sie sich davor schützen finden Sie hier.


    Sniffing

    Beim Sniffing wird die Netzwerkverbindung und die hierüber übertragenen Daten abgehört. Beim Anmelden auf einer Seite zum Beispiel das eingegebene Passwort. Besonders bei fremden und öffentlichen WLAN-Netzen sollten Sie daher ausschließlich verschlüsselte Verbindungen wie HTTPS nutzen. Aktivieren Sie bei der Verarbeitung universitäts­interner Informationen zudem die VPN-Verbindung zur Universität.

     


    Datenbankhack

    Immer wieder kommt es vor, dass Onlinedienste ihre Webseiten und insbesondere ihr Passwortdatenbank nicht ausreichend schützen. Ist die Datenbank mit den Passwörtern nicht verschlüsselt hat ein Angreifer, der Zugriff auf die Datenbank erlangt, ein leichtes Spiel. Häufig werden in der Datenbank zusammen mit den Passwörtern die dazugehörigen Benutzernamen bzw. E-Mailadressen gespeichert. Da für viele Onlinedienste die E-Mailadresse zur Anmeldung dient, kann der Angreifer die Kombination aus E-Mailadresse und Passwort bei weiteren Diensten, wie beispielsweise PayPal, ausprobieren. Daher ist es wichtig, dass Sie für jeden Dienst, den Sie nutzen, ein eigenes Passwort verwenden.


    Wörterbuch Attacke

    Bei der Wörterbuch Attacke machen es sich Angreifer zu nutzen, dass viele Passwörter aus real existierenden Wörtern bestehen. Hierbei nutzen sie sogenannte Rainbow-Tables, als Listen mit Hash-Werten* von Namen, Orte und Wörtern aus unterschiedlichen Wörterbüchern. Diese Listen sind freizugänglich im Internet zu finden. Im Anschluss muss der Angreifer nur noch die Rainbow-Tables mit dem Hash-Wert des Passwortes vergleichen.

    * Hash-Wert: Passwörter werden in Hash-Werte umgewandelt und als solche abspeichert. Diese Werte sind eindeutig und erlauben keinen Rückschluss auf das ursprüngliche Passwort.


    Brute-Force Attacke

    Übersetzt bedeutet Brute-Force „rohe Gewalt“. Hierbei probiert der Angreifer alle möglichen Zeichenkombination aus, um so das Passwort „zu erraten“. Je nach Länge und Komplexität des Passwortes hat der Angreifer dieses in nur wenigen Sekunden gehackt. Ein langes und komplexes Passwort mit Klein- & Großbuchstaben, Zahlen und Sonderzeichen bietet einen guten Schutz vor dieser Attacke.

  • Methoden zum Erstellen eines sicheren Passworts

    Merksätze

    Denken Sie sich einen leicht zu merkenden Satz aus:

    Die Strecke zwischen Mannheim und Frankfurt ist größer als 13 Kilometer“

    Nehmen Sie jeweils den Anfangsbuchstaben und setzen Sie sich so Ihr Passwort zusammen:

    D S z M & F = g a 13 K

    Tipp: Ersetzen Sie Wörter durch passende Sonderzeichen (z.B. „und“ wird zu „&“ oder „ist“ wird zu „=“)


    Schüttelwörter

    Denken Sie sich zwei unabhängige Wörter aus:

    • Tankstelle & Apfelschorle

    Kombinieren Sie diese:

    • Apfeltankschorle, Tankschorle, Tankapfel, …

    Ändern Sie Groß- und Kleinschreibung mind. 1x willkürlich:

    • taNkSChorle

    Fügen Sie nun noch Ziffern bzw. Zahlen ein und/oder ersetzen Buchstaben:

    • taNk27SChorl3

    Zum Schluss fügen Sie noch Sonderzeichen hinzufügen und/oder ersetzen Buchstaben:

    • t@Nk27_SChorl3

    Wortkombinationen

    Bei dieser Methode nehmen Sie eine zufällige Aneinanderreihung zusammenhangloser Wörter, gerne auch Fantasiewörter, als Passwort.

    Achtung: Bitte beachten Sie aber, dass diese Methode nicht für Passwörter der zentralen Kennung geeignet ist, da hier maximal 20 Zeichen erlaubt sind.

    Beispiele:

    • MondkuchenEinkaufswagenPapageiAtlas
    • weben1001dunkel&SN-Konsole
    • Gedankenstütze Thema „Aladdin/1001 Nacht“:
      • weben: fliegender Teppich
      • 1001: 1001 Nacht
      • dunkel: Nacht
      • SN-Konsole: Supernintendo Spiel
  • Zentrale Benutzerkennung und Sicherheitfrage

    Zentrale Benutzerkennung

    Als Beschäftigte oder Studierende der Universiät Mannheim erhalten Sie eine zentrale Benutzerkennung. Diese benötigen Sie unter anderem um auf Ihr E-Mail-Konto, Ilias oder den Fileshare zugreifen zu können.

    Mehr Informationen zu Ihrer Benutzerkennung finden Sie auf passwort.uni-mannheim.de.

    Bitte beachten Sie, dass diese Seite nur innerhalb des Netzes der Universität Mannheim erreichbar ist. Von außerhalb benötigen Sie eine VPN-Verbindung.


    Sicherheitsfrage

    Sicherheitsfragen werden meist zum Zurücksetzen eines Passwortes festgelegt.

    Hier an der Universität dient die Sicherheitsfrage zum Zurücksetzen des Passworts für die zentrale Benutzerkennung. Die Sicherheitsfrage ist hierbei frei wählbar, muss jedoch mindesten 4 Zeichen und kann maximal 80 Zeichen enthalten. Auch die dazugehörige Antwort darf maximal 80 Zeichen enthalten, muss aber mindestens 10 Zeichen lang sein.

    Folgende Tipps sollten Sie beim Setzen Ihrer Sicherheitsfrage beachten:

    • Verwenden Sie keine typischen Sicherheitsfragen, wie zum Beispiel „Der Geburtsname meiner Mutter lautet“ oder „Der Name meines ersten Haustiers“.
    • Bedenken, was andere von Ihnen wissen und erfahren können. In der heutigen Zeit sind viele Informationen über uns im Internet und speziell auf sozialen Netzwerken verfügbar.
    • Wählen die die Frage und Antwort so, dass sie keinen Bezug zueinander haben:
      • Beispiel: Frage: "Mein Lieblingsbuch?“ Antwort: „Ich esse gerne Erdbeertorte.“
  • E-Mailkonto

    Besonderer Schutz Ihres E-Mailkontos

    Es gibt mehrere Gründe, warum Ihr E-Mailkonto besonderen Schutz und daher ein besonders komplexes und vor allem einzigartiges Passwort benötigt.

    • Der Zugang zum E-Mailkonto ermöglicht es einem Angreifer Passwörter von anderen Diensten zurückzusetzen. So erhält dieser Zugriff auf die Dienste und alle dort befindlichen Daten.
    • E-Mailadressen werden häufig als Login für weitere Dienste verwendet. Ist das Passwort der Dienste identisch, hat der Angreifer leichtes Spiel, sich überall anzumelden.
    • Angreifer erhalten über gehackte E-Mailkonten Informationen über Kommunikations­partner.
  • Windows Passwort

    Durch das Windows-Passwort verhindern Sie, dass andere Personen Zugriff auf Ihren Rechner und die hierauf gespeicherten Informationen erhalten.

    Ändern des Windows Passworts

    • Um Ihr Passwort auf dem lokalen Rechner zu ändern, drücken Sie gleichzeitig die Tasten „Strg+Alt+Entf“ und wählen Sie den Punkt „Kennwort ändern“ aus.
    • Sie müssen anschließend einmal das alte und zweimal Ihr neues Passwort eingeben.
  • Passwort Manager

    Was ist ein Passwort Manager?

    Ein Passwort Manager ist eine Art Tresor, in welchem man seine Passwörter sicher speichern kann, um bei Bedarf auf sie zugreifen zu können. Je nachdem welcher Passwort Manager genutzt wird, bietet dieser zusätzliche Funktionen, wie die Möglichkeit sich zufällige Passwort generieren zu lassen, Notizen hinzuzufügen oder Idenditäts- und Zahlungs­daten zu hinterlegen.


    Welche Vorteile hat Passwort Manager?

    • Man muss sich nur noch ein Passwort, das Hauptpasswort, merken, um auf alle anderen Passwörter zugreifen zu können.
    • Da man sich die einzelnen Passwörter nicht mehr merken muss, ist es einfach, sich für jedes Benutzerkonto ein individuelles Passwort zu erstellen.
    • Durch den häufig eingebauten Passwortgenerator kann man sich komplexe, zufällige und sichere Passwörter erstellen lassen.
    • Viele Passwort Manager ermöglichen eine Zwei-Faktor-Authentifizierung mittels einer Schlüsseldatei.

    Welche Nachteile müssen beachtet werden?

    • Vergisst man sein Hauptpasswort, verliert die Schlüsseldatei oder die ganze Datenbank, dann hat man keinen Zugriff mehr auf alle seine Passwörter. Daher ist es wichtig Sicherungs­kopien der Schlüsseldatei und Datenbank zu erstellen.
    • Sollte einer anderen Person das Hauptpasswort bekannt werden, erlangt diese Zugriff auf alle Passwörter. Daher ist besonders bei dem Hauptpasswort darauf zu achten, dass dieses komplex und sicher ist.

    Keepass und dessen Nutzungs­voraussetzungen

    Die Universität Mannheim stellt keinen Passwort Manager zentral zur Verfügung, wir empfehlen jedoch den kostenlosen Passwort Manager „KeePass“.

    Bei der Verwendung von KeePass auf dem Universitäts­rechner sind folgende Nutzungs­voraussetzungen zu beachten:

    • Hauptpasswort: min. 12 Zeichen, Groß- & Kleinbuchstaben, Sonderzeichen & Zahlen
    • Passwortdatenbank: nur für einen selbst zugreifbar
    • Sicherung: Backup der Passwortdatenbank und ggf. Schlüsseldatei muss sichergestellt sein
    • Clouddienste: NICHT für die Sicherung oder Synchronisation der Passwortdatenbank verwenden

    Eine ausführliche Anleitung zu KeePass finden Sie hier.