Benutzernamen bestehen aus Zeichen aus dem Zeichenvorrat [a-z0-9], das erste Zeichen muß ein Buchstabe sein.
Ab 2015 muß der Benutzername mindestens 5 Zeichen lang sein, da es sonst in der Microsoft-Umgebung zu Problemen kommen kann.

Wir raten Ihnen auch dringend, Ihren Usernamen so zu wählen, dass man ihn nicht leicht erraten kann und ihn dann auch geheim zu halten - Gründe:

1. Wenn die möglichen Benutzernamen unbekannt sind, hat es ein Angreifer, der versucht zu gültigen Accounts zu kommen, deutlich schwerer, als wenn er nur das Kennwort zu einem bekannten Benutzernamen erraten oder ausspähen muß (einer der Gründe, warum Studierende nun nicht mehr username@sbox als E-Mail-Adresse bekommen).
2. Wenn jemand verhindern will, dass Sie einen Dienst nutzen, dann reicht es i. Allg. nur oft genug ein falsches Kennwort einzugeben und irgendwann wird das System reagieren, entweder indem z. B. der Account gesperrt oder die Zeit bis zu einem neuen Anmeldeversuch verlängert wird - beides macht es für Sie schwerer, ins betroffene System einzusteigen und stellt somit eine Art von DoS-Attacke dar.

Es ist daher nicht mehr möglich, den Vor- oder Nachnamen als Benutzernamen zu wählen, was keine wirkliche Einschränkung darstellt, da es sowieso nur den ersten Träger dieses Vor- oder Nachnamens betrifft, der 2. „Huber“ könnte sowieso nicht „huber“ als Benutzername wählen, wenn es bereits der 1. getan hätte.

Die Kennwort-Eingabe in TUGRAZonline ist case sensitive, unterscheidet also zwischen Groß- und Kleinschreibung!
Im Benutzernamen sind keine Großbuchstaben erlaubt!

Wenn Ihr Kennwort aus irgendeinem Grund nicht mehr gültig ist, müssen Sie sich ein neues Kennwort setzen:

• Für das Netzzugangskennwort brauchen Sie dazu das aktuelle TUGRAZonline-Kennwort oder die Handy-Signatur.
• Für das TUGRAZonline-Kennwort ist die Vorgehensweise auf einer eigenen Seite beschrieben.

Auch wenn Sie der Meinung sind, dass Ihre Daten ja gar nicht so wertvoll sind und sich vielleicht sowieso niemand dafür interessiert: Cyber-Kriminellen geht es vielleicht gar nicht um Ihre Daten sondern nur um Ihren Zugang!
An der TU Graz gilt in vielen Bereichen: „Ein Username, ein Kennwort“, außerdem wird (wenn möglich) SSO eingesetzt, d. h. viele Applikationen können nach einer einmaligen Anmeldung ohne weitere Anmeldung verwendet werden. Wenn also jemand Ihr TUGRAZonline-Kennwort ausgespäht oder erphisht hat, dann hat er u. a. auch Zugang zu unserem SSH-Server, zu unserem SMTP-Gateway und eventuell zu weiteren Diensten der TU Graz. Über diese Wege kann er dann versuchen Rechner zu infizieren oder Spam zu versenden. Es geht also nicht nur um den Schutz Ihrer Daten, sondern auch um den Schutz der Infrastruktur und der Reputation der TU Graz, daher müssen wir darauf bestehen, dass die Accountdaten

• geheim zu halten sind,
• eine bestimmte Komplexität aufzuweisen haben (damit sie nicht einfach erraten werden können) und
• auch regelmäßig geändert werden müssen.

Frage: Wenn das Kennwort komplex genug ist (und TUGRAZonline nicht kompromittiert ist), dann sollte die regelmäßige Änderung der Kennwörter eigentlich nicht notwendig sein, denn wer sagt, dass das neue Kennwort z. B. bei einem brute force-Angriff nicht gleich schnell erraten wird wie das alte Kennwort?
Antwort: Vollkommen richtig, allerdings wissen wir, dass unsere Kennwörter trotz Verbots (s. u.) leider immer wieder weiter gegeben oder in anderen Systemen verwendet werden. Wenn das Kennwort regelmäßig geändert wird, wird somit verhindert, dass das Kennwort zu vielen Personen bekannt wird, die es vielleicht gar nicht mehr wissen sollten.
Frage: Gegen brute force-Angriffe würden längere Kennwörter (dafür ohne Sonderzeichen und somit leichter merkbar) eigentlich besser helfen?
Antwort: Ja, wir kennen auch den Cartoon von xkcd zum Thema Kennwort-Stärke, das trifft allerdings nur zu, wenn man Zugriff auf die verhashten Kennwörter hätte, über das Netz würde ein so massiver Angriff auffallen. Wenn man keine Sonderzeichen etc. vorgibt, gilt außerdem: die 10.000 beliebtesten Kennwörter öffnen über 98 % aller Accounts!
Frage: Aber wenn das Kennwort so kompliziert ist, dann muß ich es mir aufschreiben!
Antwort: Erstens gibt es gute Methoden sich auch solche Kennwörter so zu überlegen, dass man sie nicht vergißt (s. u.) und zum Zweiten ist Ihr Zettel für einen entfernten Angreifer i. Allg. nicht sichtbar! D. h.: wenn Ihr Zimmerkollege Zugriff auf Ihre Daten bekommt, weil Sie das Kennwort am Bildschirm kleben haben, dann ist das aus Infrastruktursicht weniger bedenklich, als wenn Ihr Kennwort so einfach zu erraten ist, dass es beim 7. Versuch geknackt ist. Und zum Dritten gibt es sehr gute Kennwort-Manager (s. u.), wo man sich dann nur 1 Kennwort merken muß.
Frage: Warum muß ich die beiden Kennwörter gleichzeitig ändern?
Antwort: Der Grund für das gleichzeitige Ändern ist ein sehr einfacher:
In TUGRAZonline gibt es derzeit keinen Mechanismus, der über das Ablaufen des Netzzugangskennworts informiert, daher wird dieser Termin immer wieder übersehen, was dann zu Problemen führt.

Die Änderung von Kennwörtern erfolgt ausschließlich in TUGRAZonline in Ihrer Visitenkarte im Punkt „Kennwort ändern“.

Die Weitergabe von (persönlichen) Kennwörtern ist gemäß § 5 (3) der BBO des ZIDs und Punkt 8.2. und 8.4. der Richtlinie zur Informationssicherheit (Regelungen für den Gebrauch von Kennwörtern) strikt untersagt und kann zum Entzug des Accounts führen. Ist es z. B. für das Sekretariat notwendig im Auftrag der Leitung einer OE Arbeiten durchzuführen, dann ist das über einer Vertretungsregelung oder entsprechende Rechte und Funktionen in TUGRAZonline umzusetzen, die Weitergabe und die Annahme von Kennwörtern ist nicht zulässig!

Für Sekretariate, Tagungen etc. bietet der ZID schon seit Jahren funktionsbezogene E-Mail-Adressen an, die dann z. B. im Urlaub anderen Personen frei gegeben werden können, wodurch keine Kennwortweitergabe des persönlichen Accounts notwendig ist.

Sie sollten Ihr TUGRAZonline-Kennwort nicht im Browser (oder E-Mail-Client) speichern. Wenn Sie es doch tun wollen, dann nur, wenn der Browser (oder das E-Mail-Programm) ein Masterkennwort unterstützt und Sie das auch verwenden:
Erst nach Eingabe dieses einen Masterkennwortes hat das Programm (Browser, E-Mail-Client, …) Zugriff auf die (z. B. für einzelne Webseiten) gespeicherten Kennwörter. Die Sicherheit ist je nach Programm unterschiedlich, für Browser ist es derzeit am besten im Firefox gelöst, Chrome verwendet inzwischen das Kennwort des Benutzers des Rechners - wenn Sie unter Windows kein Kennwort vergeben haben, dann sind auch die gespeicherten Kennwörter in Chrome nicht geschützt, ein Aufruf von chrome://settings/passwords zeigt dann die gespeicherten Kennwörter an. Diese Vorgehensweise ist grob fahrlässig, was bedeutet, dass Sie im Fall von Schäden (auch privat) haften.

Auch bei der Verwendung von Passwort-Managern muß man sich zumindest das Masterkennwort merken, das gilt auch für den Datentresor der TU Graz.

Es ist bekannt, dass User gerne auf verschiedenen Systemen gleiche Zugangsdaten verwenden, da sie sich dann nur 1 Kombination aus Username und Kennwort merken müssen („Password Recycling“ oder auch „Password Reuse“ genannt).

Davon ist dringend abzuraten bzw. ist es untersagt, das mit den TUGRAZonline-Zugangsdaten zu machen, da wir nicht wissen, wie sicher andere Systeme (auch der TU Graz) sind!
Bei geleakten Kennwörtern kommt es auch sehr häufig zu sog. „Credential Stuffing Attacks“, bei denen automatisiert versucht wird mit diesen Kennwörtern in andere Accounts der betroffenen Personen einzudringen.
Lesen Sie dazu z. B. die Artikel „Gefahr durch Identitätsdiebstahl“ und „Passwörter wiederzuverwenden ist sehr gefährlich“.

Wenn Sie (viele) Kennwörter (nicht nur im Browser) speichern wollen: Verwenden Sie doch unseren Datentresor, der auch das sichere Teilen von Informationen erlaubt!

Wenn Sie überprüfen wollen, ob Ihr Kennwort bereits in Kennwort-Datenbanken aufscheint, dann gibt es dafür ein vertrauenswürdiges Service.

Um ein einzelnes sicheres Kennwort zu erzeugen, kann man z. B. einen Kinderreim nehmen, davon nur die Anfangsbuchstaben verwenden und das Ergebnis mit Sonderzeichen und Zahlen garnieren, beispielsweise wird aus dem bekannten „Hänschen klein ging allein in die weite Welt hinein.“ dann Hk1ga1idwWh. (Acronymisierungsmethode).
Eine andere Variante, die man sich leicht merkt, sind gereimte Kennwörter, Beispiel: K1-Bier-vor4!

Um sich viele Kennwörter merken zu können, empfiehlt es sich z. B. nach einem bestimmten Schema vorzugehen, das zufällig aussieht, es aber nicht ist, so könnte man einen Teil des Kennwortes fix wählen und einen Teil aus der Seite nehmen, auf der man sich anmelden möchte - Beispiel: 2. und vorletzter Buchstabe des Systems kombiniert mit fixen und variablen Elementen:

Amazon: „das ist mein neues Kennwort für Amazon 2013“ ergibt somit „dimnKfmo13“ und mit etwas l33t-Speak „d!mnKfmol3“.
Leet-Speak alleine macht Kennwörter nicht sicherer, das wird von vielen Angriffstools inzwischen berücksichtigt!

Analog würde sich für Google das Kennwort „d!mnKfoll3“ ergeben.

Selbst ein vergessenes Kennwort läßt sich wieder rekonstruieren, wenn man sich an das verwendete Schema erinnert!

In c't 03/2013 wird eine andere Methode vorgeschlagen, wie man sich ein neues, wirklich zufällig (z. B. mit einem Kennwort-Generator) erstelltes Kennwort schnell merkt:
Setzen Sie dieses Kennwort für Ihren Bildschirmschoner, setzen Sie das Timeout der Bildschirmsperre auf 1 Minute und Sie müssen das neue Kennwort so oft eingeben, dass Sie es nach 2, 3 Tagen blind tippen können.
Dieses Kennwort sollten Sie dann als Master-Kennwort im Browser oder in Ihrem Kennwortsafe (bzw. unserem Datentresor) verwenden oder an andere Dienste anpassen, Beispiel (aus c't Security): das Master-Kennwort: „:xT9/qwB“ wird mit dem Dienst-Kennwortteil „3ae“ für eBay (Länge-1, 3. und 1. Buchstabe) zu „:3xT9/qawBe“ und mit dem Dienst-Kennwortteil „7nL“ für LinkedIn ergibt sich „:7xT9/qnwBL“.