Kennwort-Policy

In TUGRAZonline werden je Benutzer 2 Kennwörter verwaltet:

  1. Das TUGRAZonline-Kennwort, das auch bei vielen anderen Anwendungen/Applikationen (z. B. E-Mail-Zugang und -Versand, SSH-Zugang, TU4U etc.) zum Einsatz kommt.
  2. Das Netzzugangskennwort, das für folgende Dienste zu verwenden ist:

Der Grund, warum wir auf 2 verschiedene Kennwörter für Applikationen bzw. Netzzugang bestehen, ist, daß es teilweise relativ leicht möglich ist zu Netzzugangsdaten zu kommen und wir verhindern müssen, daß man mit diesen Daten

  • Zugang zu personenbezogenen Daten bekommen kann (§ 14 DSG 2000),
  • unsere Infrastruktur missbrauchen kann (z. B. Spam-Versand).

Beide Kennwörter haben eine maximale Gültigkeit von 450 Tagen und für beide Kennwörter gelten die gleichen Mindestanforderungen:

  • Alle Zeichen entstammen dem Zeichenvorrat ASCII 33-126, wobei die „Apostrophen“ ", ' und ` (also ASCII 34, 39 und 96) und @ (ASCII 64) nicht erlaubt sind. Diese Einschränkung wurde eingeführt, weil andere Zeichen zu Problemen führen könnten.
  • Das Kennwort besteht aus mindestens 10 (und maximal 40) Zeichen, davon mindestens:
    • Ein Sonderzeichen (also ohne die Ziffern und Buchstaben)
      Achtung: mit Sonderzeichen (wie „-“) am Beginn des Kennwortes kann es in nachgeschalteten Systemen u. U. zu Problemen kommen!
    • Eine Ziffer 0-9 (ASCII 48-57).
    • Drei Buchstaben A-Z oder a-z (ASCII 65-90; 97-122).
      Es ist egal, ob Sie Groß- oder Kleinbuchstaben verwenden oder diese auch mischen. [s. u.]
  • Vor-, Nach- und Username, Sozialversicherungsnummer und Matrikelnummer dürfen nicht Teil des Kennwortes sein.
  • „Standardfragmente“ (abcd, qwert, 1234, asdf, passwort) sind nicht erlaubt.
  • Ein neues Kennwort muß sich von allen Kennwörtern beider Gruppen der letzten 18 Monate an mindestens 3 Stellen unterscheiden.
Das klingt jetzt vermutlich komplizierter als es tatsächlich ist: dezember.2014 wäre ein gültiges Kennwort (nur erlaubte Zeichen, lang genug, enthält Ziffern, enthält mehr als 3 Buchstaben und 1 Sonderzeichen), ist aber nicht sehr sicher! So einfache Kennwörter sollten Sie daher häufiger als vorgeschrieben ändern.

Beispiele zur Verwendung

  • TUGRAZonline-Zugang
    TUGRAZonline-Username
    TUGRAZonline-Kennwort
  • E-Mail-Zugang
    TUGRAZonline-Username
    TUGRAZonline-Kennwort
  • PPPoE-Zugang in Seminarraum
    TUGRAZonline-Username
    Netzzugangskennwort
  • eduroam
    TUGRAZonline-Username@tugraz.at
    Netzzugangskennwort

Benutzernamen immer nur in Kleinbuchstaben!


Username

Benutzernamen bestehen aus Zeichen aus dem Zeichenvorrat [a-z0-9], das erste Zeichen muß ein Buchstabe sein.
Ab 2015 muß der Benutzername mindestens 5 Zeichen lang sein, da es sonst in der Microsoft-Umgebung zu Problemen kommen kann.

Wir raten Ihnen auch dringend, Ihren Usernamen so zu wählen, daß man ihn nicht leicht erraten kann und ihn dann auch geheim zu halten - Gründe:

  1. Wenn die möglichen Benutzernamen unbekannt sind, hat es ein Angreifer, der versucht zu gültigen Accounts zu kommen, deutlich schwerer, als wenn er nur das Kennwort zu einem bekannten Benutzernamen erraten oder ausspähen muß (einer der Gründe, warum Studierende nun nicht mehr username@sbox als E-Mail-Adresse bekommen).
  2. Wenn jemand verhindern will, daß Sie einen Dienst nutzen, dann reicht es i. Allg. nur oft genug ein falsches Kennwort einzugeben und irgendwann wird das System reagieren, entweder indem z. B. der Account gesperrt oder die Zeit bis zu einem neuen Anmeldeversuch verlängert wird - beides macht es für Sie schwerer, ins betroffene System einzusteigen und stellt somit eine Art von DoS-Attacke dar.

Es ist daher nicht mehr möglich, den Vor- oder Nachnamen als Benutzernamen zu wählen, was keine wirkliche Einschränkung darstellt, da es sowieso nur den ersten Träger dieses Vor- oder Nachnamens betrifft, der 2. „Huber“ könnte sowieso nicht „huber“ als Benutzername wählen, wenn es bereits der 1. getan hätte.

top

Groß-/Kleinschreibung

Die Kennwort-Eingabe in TUGRAZonline ist case sensitive, unterscheidet also zwischen Groß- und Kleinschreibung!
Im Benutzernamen sind keine Großbuchstaben erlaubt!

top

Vergessene oder abgelaufene Kennwörter bzw. gesperrte Accounts

Wenn Ihr Kennwort aus irgendeinem Grund nicht mehr gültig ist, müssen Sie sich ein neues Kennwort setzen:

  • Für das Netzzugangskennwort brauchen Sie dazu das aktuelle TUGRAZonline-Kennwort oder die Handy-Signatur.
  • Für das TUGRAZonline-Kennwort ist die Vorgehensweise im Bereich TUGRAZonline-Account beschrieben.

top

Warum besteht der ZID auf komplizierten Kennwörtern und dem periodischen Wechsel?

Auch wenn Sie der Meinung sind, daß Ihre Daten ja gar nicht so wertvoll sind und sich vielleicht sowieso niemand dafür interessiert: Cyber-Kriminellen geht es vielleicht gar nicht um Ihre Daten sondern nur um Ihren Zugang!
An der TU Graz gilt in vielen Bereichen: „Ein Username, ein Kennwort“, außerdem wird (wenn möglich) SSO eingesetzt, d. h. viele Applikationen können nach einer einmaligen Anmeldung ohne weitere Anmeldung verwendet werden. Wenn also jemand Ihr TUGRAZonline-Kennwort ausgespäht oder erphisht hat, dann hat er u. a. auch Zugang zu unserem SSH-Server, zu unserem SMTP-Gateway und eventuell zu weiteren Diensten der TU Graz. Über diese Wege kann er dann versuchen Rechner zu infizieren oder Spam zu versenden. Es geht also nicht nur um den Schutz Ihrer Daten, sondern auch um den Schutz der Infrastruktur und der Reputation der TU Graz, daher müssen wir darauf bestehen, daß die Accountdaten

  • geheim zu halten sind,
  • eine bestimmte Komplexität aufzuweisen haben (damit sie nicht einfach erraten werden können) und
  • auch regelmäßig geändert werden müssen.

Frage: Wenn das Kennwort komplex genug ist (und TUGRAZonline nicht kompromittiert ist), dann sollte die regelmäßige Änderung der Kennwörter eigentlich nicht notwendig sein, denn wer sagt, daß das neue Kennwort z. B. bei einem brute force-Angriff nicht gleich schnell erraten wird wie das alte Kennwort?
Antwort: Vollkommen richtig, allerdings wissen wir, daß unsere Kennwörter trotz Verbots (s. u.) leider immer wieder weiter gegeben oder in anderen Systemen verwendet werden. Wenn das Kennwort regelmäßig geändert wird, wird somit verhindert, daß das Kennwort zu vielen Personen bekannt wird, die es vielleicht gar nicht mehr wissen sollten.
Frage: Gegen brute force-Angriffe würden längere Kennwörter (dafür ohne Sonderzeichen und somit leichter merkbar) eigentlich besser helfen?
Antwort: Ja, wir kennen auch den Cartoon von xkcd zum Thema Kennwort-Stärke, das trifft allerdings nur zu, wenn man Zugriff auf die verschlüsselte Kennwort-Datei hätte, über das Netz würde ein so massiver Angriff auffallen. Wenn man keine Sonderzeichen etc. vorgibt, gilt außerdem: die 10.000 beliebtesten Kennwörter öffnen über 98 % aller Accounts!
Frage: Aber wenn das Kennwort so kompliziert ist, dann muß ich es mir aufschreiben!
Antwort: Erstens gibt es gute Methoden sich auch solche Kennwörter so zu überlegen, daß man sie nicht vergißt (s. u.) und zum Zweiten ist Ihr Zettel für einen entfernten Angreifer i. Allg. nicht sichtbar! D. h.: wenn Ihr Zimmerkollege Zugriff auf Ihre Daten bekommt, weil Sie das Kennwort am Bildschirm kleben haben, dann ist das aus Infrastruktursicht weniger bedenklich, als wenn Ihr Kennwort so einfach zu erraten ist, daß es beim 7. Versuch geknackt ist. Und zum Dritten gibt es sehr gute Kennwort-Manager (s. u.), wo man sich dann nur 1 Kennwort merken muß.

top

Änderung von Kennwörtern

Die Änderung von Kennwörtern erfolgt ausschließlich in TUGRAZonline in Ihrer Visitenkarte im Punkt „Kennwort ändern“.

top

Weitergabe von Kennwörtern

Die Weitergabe von (persönlichen) Kennwörtern ist gemäß § 5 (3) der BBO des ZIDs strikt untersagt und kann zum Entzug des Accounts führen. Ist es z. B. für das Sekretariat notwendig im Auftrag der Leitung einer OE Arbeiten durchzuführen, dann ist das über einer Vertretungsregelung oder entsprechende Rechte und Funktionen in TUGRAZonline umzusetzen, die Weitergabe und die Annahme von Kennwörtern ist nicht zulässig!

Das automatische Speichern von Zugangsdaten der TU Graz bei Fremdprovidern im Klartext ist daher ebenfalls untersagt, da das einer Accountweitergabe gleich kommt!
Beispiel: Speicherung von Zugangsdaten (WLAN etc.) für Android-Geräte durch die Funktion „Meine Daten sichern“ auf Google-Servern - Achtung: bei einigen Android-Geräten ist diese Funktion in der Voreinstellung aktiviert!
In Windows 10 (Mobile) gibt es die Funktion „WLAN-Optimierung“, über die Sie Ihren WLAN-Zugang mit all Ihren Kontakten teilen können - was bei kennwortgeschützten WLANs bedeutet, daß Ihr Kennwort an Ihre Kontakte weiter gegeben wird!


Für Sekretariate, Tagungen etc. bietet der ZID schon seit Jahren funktionsbezogene E-Mail-Adressen an, die dann z. B. im Urlaub anderen Personen frei gegeben werden können, wodurch keine Kennwortweitergabe des persönlichen Accounts notwendig ist.

top

Speichern von Kennwörtern

Sie sollten Ihr TUGRAZonline-Kennwort nicht im Browser (oder E-Mail-Client) speichern. Wenn Sie es doch tun wollen, dann nur, wenn der Browser (oder das E-Mail-Programm) ein Masterkennwort unterstützt und Sie das auch verwenden:
Erst nach Eingabe dieses einen Masterkennwortes hat das Programm (Browser, E-Mail-Client, …) Zugriff auf die (z. B. für einzelne Webseiten) gespeicherten Kennwörter. Die Sicherheit ist je nach Programm unterschiedlich, für Browser ist es derzeit am besten im Firefox gelöst, Chrome verwendet inzwischen das Kennwort des Benutzers des Rechners - wenn Sie unter Windows kein Kennwort vergeben haben, dann sind auch die gespeicherten Kennwörter in Chrome nicht geschützt, ein Aufruf von chrome://settings/passwords zeigt dann die gespeicherten Kennwörter an. Diese Vorgehensweise ist grob fahrlässig, was bedeutet, daß Sie im Fall von Schäden (auch privat) haften.

Auch bei der Verwendung von Passwort-Managern muß man sich zumindest das Masterkennwort merken, das gilt auch für den Datentresor der TU Graz.

top

Accounts auf anderen Systemen

Es ist bekannt, daß User gerne auf verschiedenen Systemen gleiche Zugangsdaten verwenden, da sie sich dann nur 1 Kombination aus Username und Kennwort merken müssen („password recycling“).

Davon ist dringend abzuraten bzw. ist es untersagt, das mit den TUGRAZonline-Zugangsdaten zu machen, da wir nicht wissen, wie sicher andere Systeme (auch der TU Graz) sind! Lesen Sie dazu z. B. die Artikel „Gefahr durch Identitätsdiebstahl“ und „Passwörter wiederzuverwenden ist sehr gefährlich“.

Wenn Sie (viele) Kennwörter (nicht nur im Browser) speichern wollen: Verwenden Sie doch unseren Datentresor, der auch das sichere Teilen von Informationen erlaubt!

top

Tipps für ein sicheres Kennwort

Um sich viele Kennwörter merken zu können, empfiehlt es sich z. B. nach einem bestimmten Schema vorzugehen, das zufällig aussieht, es aber nicht ist, so könnte man einen Teil des Kennwortes fix wählen und einen Teil aus der Seite nehmen, auf der man sich anmelden möchte - Beispiel: 2. und vorletzter Buchstabe des Systems kombiniert mit fixen und variablen Elementen:

Amazon: „das ist mein neues Kennwort für Amazon 2013“ ergibt somit „dimnKfmo13“ und mit etwas l33t-Speakd!mnKfmol3“.

Analog würde sich für Google das Kennwort „d!mnKfoll3“ ergeben.

Selbst ein vergessenes Kennwort läßt sich wieder rekonstruieren, wenn man sich an das verwendete Schema erinnert!

In c't 03/2013 wird eine andere Methode vorgeschlagen, wie man sich ein neues, wirklich zufällig (z. B. mit einem Kennwort-Generator) erstelltes Kennwort schnell merkt:
Setzen Sie dieses Kennwort für Ihren Bildschirmschoner, setzen Sie das Timeout der Bildschirmsperre auf 1 Minute und Sie müssen das neue Kennwort so oft eingeben, daß sie es nach 2, 3 Tagen blind tippen können.
Dieses Kennwort sollten Sie dann als Master-Kennwort im Browser oder in Ihrem Kennwortsafe (bzw. unserem Datentresor) verwenden oder an andere Dienste anpassen, Beispiel (aus c't Security): das Master-Kennwort: „:xT9/qwB“ wird mit dem Dienst-Kennwortteil „3ae“ für eBay (Länge-1, 3. und 1. Buchstabe) zu „:3xT9/qawBe“ und mit dem Dienst-Kennwortteil „7nL“ für LinkedIn ergibt sich „:7xT9/qnwBL“.

top