In TUGRAZonline werden je Benutzer 2 Kennwörter verwaltet:
Der Grund, warum wir auf 2 verschiedene Kennwörter für Applikationen bzw. Netzzugang bestehen, ist, dass es teilweise relativ leicht möglich ist zu Netzzugangsdaten zu kommen und wir verhindern müssen, dass man mit diesen Daten
Beide Kennwörter haben eine maximale Gültigkeit von 450 Tagen, beide Kennwörter müssen gleichzeitig geändert werden und für beide Kennwörter gelten die gleichen Mindestanforderungen:
Das klingt jetzt vermutlich komplizierter als es tatsächlich ist: Dezember.2014 wäre ein gültiges Kennwort (nur erlaubte Zeichen, lang genug, enthält Ziffern, enthält mehr als 3 Buchstaben und 1 Sonderzeichen), ist aber nicht sehr sicher! So einfache Kennwörter sollten Sie daher entweder häufiger als vorgeschrieben ändern oder besser gar nicht verwenden, da gerade das hier vorgestellt Schema zu den meistbenutzten weltweit gehört (nach Analysen 2017/2018 ca. 1,5 % aller Kennwörter) und deshalb bei Einbruchsversuchen sehr schnell zum Ziel führt. |
Benutzernamen immer nur in Kleinbuchstaben!
Vergessene oder abgelaufene Kennwörter bzw. gesperrte Accounts
Warum besteht die TU Graz auf komplizierten Kennwörtern und dem periodischen Wechsel?
Benutzernamen bestehen aus Zeichen aus dem Zeichenvorrat [a-z0-9], das erste Zeichen muß ein Buchstabe sein.
Ab 2015 muß der Benutzername mindestens 5 Zeichen lang sein, da es sonst in der Microsoft-Umgebung zu Problemen kommen kann.
Wir raten Ihnen auch dringend, Ihren Usernamen so zu wählen, dass man ihn nicht leicht erraten kann und ihn dann auch geheim zu halten - Gründe:
Es ist daher nicht mehr möglich, den Vor- oder Nachnamen als Benutzernamen zu wählen, was keine wirkliche Einschränkung darstellt, da es sowieso nur den ersten Träger dieses Vor- oder Nachnamens betrifft, der 2. „Huber“ könnte sowieso nicht „huber“ als Benutzername wählen, wenn es bereits der 1. getan hätte.
Die Kennwort-Eingabe in TUGRAZonline ist case sensitive, unterscheidet also zwischen Groß- und Kleinschreibung!
Im Benutzernamen sind keine Großbuchstaben erlaubt!
Vergessene oder abgelaufene Kennwörter bzw. gesperrte Accounts
Wenn Ihr Kennwort aus irgendeinem Grund nicht mehr gültig ist, müssen Sie sich ein neues Kennwort setzen:
Warum besteht die TU Graz auf komplizierten Kennwörtern und dem periodischen Wechsel?
Auch wenn Sie der Meinung sind, dass Ihre Daten ja gar nicht so wertvoll sind und sich vielleicht sowieso niemand dafür interessiert: Cyber-Kriminellen geht es vielleicht gar nicht um Ihre Daten sondern nur um Ihren Zugang!
An der TU Graz gilt in vielen Bereichen: „Ein Username, ein Kennwort“, außerdem wird (wenn möglich) SSO eingesetzt, d. h. viele Applikationen können nach einer einmaligen Anmeldung ohne weitere Anmeldung verwendet werden. Wenn also jemand Ihr TUGRAZonline-Kennwort ausgespäht oder erphisht hat, dann hat er u. a. auch Zugang zu unserem SSH-Server, zu unserem SMTP-Gateway und eventuell zu weiteren Diensten der TU Graz. Über diese Wege kann er dann versuchen Rechner zu infizieren oder Spam zu versenden. Es geht also nicht nur um den Schutz Ihrer Daten, sondern auch um den Schutz der Infrastruktur und der Reputation der TU Graz, daher müssen wir darauf bestehen, dass die Accountdaten
Frage: Wenn das Kennwort komplex genug ist (und TUGRAZonline nicht kompromittiert ist), dann sollte die regelmäßige Änderung der Kennwörter eigentlich nicht notwendig sein, denn wer sagt, dass das neue Kennwort z. B. bei einem brute force-Angriff nicht gleich schnell erraten wird wie das alte Kennwort?
Antwort: Vollkommen richtig, allerdings wissen wir, dass unsere Kennwörter trotz Verbots (s. u.) leider immer wieder weiter gegeben oder in anderen Systemen verwendet werden. Wenn das Kennwort regelmäßig geändert wird, wird somit verhindert, dass das Kennwort zu vielen Personen bekannt wird, die es vielleicht gar nicht mehr wissen sollten.
Frage: Gegen brute force-Angriffe würden längere Kennwörter (dafür ohne Sonderzeichen und somit leichter merkbar) eigentlich besser helfen?
Antwort: Ja, wir kennen auch den Cartoon von xkcd zum Thema Kennwort-Stärke, das trifft allerdings nur zu, wenn man Zugriff auf die verhashten Kennwörter hätte, über das Netz würde ein so massiver Angriff auffallen. Wenn man keine Sonderzeichen etc. vorgibt, gilt außerdem: die 10.000 beliebtesten Kennwörter öffnen über 98 % aller Accounts!
Frage: Aber wenn das Kennwort so kompliziert ist, dann muß ich es mir aufschreiben!
Antwort: Erstens gibt es gute Methoden sich auch solche Kennwörter so zu überlegen, dass man sie nicht vergißt (s. u.) und zum Zweiten ist Ihr Zettel für einen entfernten Angreifer i. Allg. nicht sichtbar! D. h.: wenn Ihr Zimmerkollege Zugriff auf Ihre Daten bekommt, weil Sie das Kennwort am Bildschirm kleben haben, dann ist das aus Infrastruktursicht weniger bedenklich, als wenn Ihr Kennwort so einfach zu erraten ist, dass es beim 7. Versuch geknackt ist. Und zum Dritten gibt es sehr gute Kennwort-Manager (s. u.), wo man sich dann nur 1 Kennwort merken muß.
Frage: Warum muß ich die beiden Kennwörter gleichzeitig ändern?
Antwort: Der Grund für das gleichzeitige Ändern ist ein sehr einfacher:
In TUGRAZonline gibt es derzeit keinen Mechanismus, der über das Ablaufen des Netzzugangskennworts informiert, daher wird dieser Termin immer wieder übersehen, was dann zu Problemen führt.
Die Änderung von Kennwörtern erfolgt ausschließlich in TUGRAZonline in Ihrer Visitenkarte im Punkt „Kennwort ändern“.
Die Weitergabe von (persönlichen) Kennwörtern ist gemäß § 5 (3) der BBO des ZIDs und Punkt 8.2. und 8.4. der Richtlinie zur Informationssicherheit (Regelungen für den Gebrauch von Kennwörtern) strikt untersagt und kann zum Entzug des Accounts führen. Ist es z. B. für das Sekretariat notwendig im Auftrag der Leitung einer OE Arbeiten durchzuführen, dann ist das über einer Vertretungsregelung oder entsprechende Rechte und Funktionen in TUGRAZonline umzusetzen, die Weitergabe und die Annahme von Kennwörtern ist nicht zulässig!
Das automatische Speichern von Zugangsdaten der TU Graz bei Fremdprovidern im Klartext ist daher ebenfalls untersagt, da das einer Accountweitergabe gleich kommt! |
Für Sekretariate, Tagungen etc. bietet der ZID schon seit Jahren funktionsbezogene E-Mail-Adressen an, die dann z. B. im Urlaub anderen Personen frei gegeben werden können, wodurch keine Kennwortweitergabe des persönlichen Accounts notwendig ist.
Sie sollten Ihr TUGRAZonline-Kennwort nicht im Browser (oder E-Mail-Client) speichern. Wenn Sie es doch tun wollen, dann nur, wenn der Browser (oder das E-Mail-Programm) ein Masterkennwort unterstützt und Sie das auch verwenden:
Erst nach Eingabe dieses einen Masterkennwortes hat das Programm (Browser, E-Mail-Client, …) Zugriff auf die (z. B. für einzelne Webseiten) gespeicherten Kennwörter. Die Sicherheit ist je nach Programm unterschiedlich, für Browser ist es derzeit am besten im Firefox gelöst, Chrome verwendet inzwischen das Kennwort des Benutzers des Rechners - wenn Sie unter Windows kein Kennwort vergeben haben, dann sind auch die gespeicherten Kennwörter in Chrome nicht geschützt, ein Aufruf von chrome://settings/passwords zeigt dann die gespeicherten Kennwörter an. Diese Vorgehensweise ist grob fahrlässig, was bedeutet, dass Sie im Fall von Schäden (auch privat) haften.
Auch bei der Verwendung von Passwort-Managern muß man sich zumindest das Masterkennwort merken, das gilt auch für den Datentresor der TU Graz.
Es ist bekannt, dass User gerne auf verschiedenen Systemen gleiche Zugangsdaten verwenden, da sie sich dann nur 1 Kombination aus Username und Kennwort merken müssen („Password Recycling“ oder auch „Password Reuse“ genannt).
Davon ist dringend abzuraten bzw. ist es untersagt, das mit den TUGRAZonline-Zugangsdaten zu machen, da wir nicht wissen, wie sicher andere Systeme (auch der TU Graz) sind!
Bei geleakten Kennwörtern kommt es auch sehr häufig zu sog. „Credential Stuffing Attacks“, bei denen automatisiert versucht wird mit diesen Kennwörtern in andere Accounts der betroffenen Personen einzudringen.
Lesen Sie dazu z. B. die Artikel „Gefahr durch Identitätsdiebstahl“ und „Passwörter wiederzuverwenden ist sehr gefährlich“.
Wenn Sie (viele) Kennwörter (nicht nur im Browser) speichern wollen: Verwenden Sie doch unseren Datentresor, der auch das sichere Teilen von Informationen erlaubt!
Wenn Sie überprüfen wollen, ob Ihr Kennwort bereits in Kennwort-Datenbanken aufscheint, dann gibt es dafür ein vertrauenswürdiges Service.
Tipps für ein sicheres Kennwort
Um ein einzelnes sicheres Kennwort zu erzeugen, kann man z. B.
einen Kinderreim nehmen, davon nur die Anfangsbuchstaben verwenden und das
Ergebnis mit Sonderzeichen und Zahlen garnieren, beispielsweise wird aus dem
bekannten „Hänschen klein ging allein in die weite Welt hinein.“
dann
Eine andere Variante, die man sich leicht merkt, sind gereimte Kennwörter,
Beispiel:
Um sich viele Kennwörter merken zu können, empfiehlt es sich z. B. nach einem bestimmten Schema vorzugehen, das zufällig aussieht, es aber nicht ist, so könnte man einen Teil des Kennwortes fix wählen und einen Teil aus der Seite nehmen, auf der man sich anmelden möchte - Beispiel: 2. und vorletzter Buchstabe des Systems kombiniert mit fixen und variablen Elementen:
Amazon: „das ist mein neues Kennwort für Amazon 2013“ ergibt somit „dimnKfmo13“ und mit etwas l33t-Speak „d!mnKfmol3“.
Leet-Speak alleine macht Kennwörter nicht sicherer, das wird von vielen Angriffstools inzwischen berücksichtigt!
Analog würde sich für Google das Kennwort „d!mnKfoll3“ ergeben.
Selbst ein vergessenes Kennwort läßt sich wieder rekonstruieren, wenn man sich an das verwendete Schema erinnert!
In c't 03/2013 wird eine andere Methode vorgeschlagen, wie man sich ein neues, wirklich zufällig (z. B. mit einem Kennwort-Generator) erstelltes Kennwort schnell merkt:
Setzen Sie dieses Kennwort für Ihren Bildschirmschoner, setzen Sie das Timeout der Bildschirmsperre auf 1 Minute und Sie müssen das neue Kennwort so oft eingeben, dass Sie es nach 2, 3 Tagen blind tippen können.
Dieses Kennwort sollten Sie dann als Master-Kennwort im Browser oder in Ihrem Kennwortsafe (bzw. unserem Datentresor) verwenden oder an andere Dienste anpassen, Beispiel (aus c't Security): das Master-Kennwort: „:xT9/qwB“ wird mit dem Dienst-Kennwortteil „3ae“ für eBay (Länge-1, 3. und 1. Buchstabe) zu „:3xT9/qawBe“ und mit dem Dienst-Kennwortteil „7nL“ für LinkedIn ergibt sich „:7xT9/qnwBL“.