Nein, Jesus ist kein knacksicheres Passwort
… So stand es vor kurzem in der Zeitung…, aber auch «admin, abc123, 123456, google, welcome, password1» oder ein leeres Passwort sind schlecht gewählte Passwörter.
Auch hier an der ETH Zürich nutzen viele Studierende und Mitarbeitende unsichere Passwörter. In der Mitarbeitenden- und Studierenden-Broschüre, die alle neuen ETH Angehörigen bekommen, finden sich folgende Ratschläge:
-
Änderung des Passwortes
Sie müssen Ihr Initial-Passwort, was Sie am Anfang erhalten haben, ändern. Aus Sicherheitsgründen sollte das Passwort mindestens acht Zeichen lang sein (besser 12 bis 16 Zeichen) sowie Gross- und Kleinbuchstaben, Zahlen und Spezialzeichen enthalten. Es ist beliebig oft änderbar. Die Verwendung unterschiedlicher Passwörter für die verschiedenen IT-Dienstleistungen ist zu empfehlen, erhöht die Sicherheit und erschwert den Zugriff auf Ihre gespeicherten Daten. Passwort-Regeln für Ihre Sicherheit
-
Passwort-Weitergabe / IT-Sicherheit
Ignorieren Sie jegliche Aufforderung, Zugangsdaten bekannt zu geben. Kein seriöser Dienstleistungsanbieter fragt Sie je per E-Mail nach Ihrem Usernamen und Passwort. Loggen Sie sich nur an absolut vertrauenswürdigen Webseiten ein. Fragen Sie in Zweifelsfällen zuerst Ihren IT-Support. Mehr zum Thema IT-Sicherheit finden Sie bei unserem IT-Awareness-Programm «safeIT» unter http://www.safeit.ethz.ch/.
Security Awareness
Traditionell geniessen die Benutzerinnen und Benutzer an der ETH Zürich ein grosses Mass an Freiheiten beim Einsatz ihrer Informatikmittel. Um dies auch in Zukunft gewährleisten zu können, ist es notwendig, dass alle Benutzenden ein gewisses Sicherheitsbewusstsein im Umgang mit Informatikmitteln haben. Dazu gehört auch die IT-Hausregeln der ETH Zürich zu kennen und zu befolgen.
Kein Missbrauch von Geräten und Passwörtern
- Wählen Sie nur schwer zu erratende Passwörter, halten sie diese geheim und beachten Sie die Passwortregeln.
- Benutzen Sie einen passwortgeschützten Bildschirmschoner, falls Sie Ihren Arbeitsplatz verlassen.
- Melden Sie sich vom System ab oder schalten Sie den Computer aus, während Sie abwesend sind oder das Gerät nicht benötigen.
Passwort-Regeln für Ihre Sicherheit
Wählen Sie ein nicht zu erratendes Passwort, dass Sie sich aber gut merken können. Verwenden Sie nie «Namen, Geburtsdatum, Kennzeichen/PIN-Codes, Telefonnummer oder alltägliche Wörter», die man auch im Wörterbuch findet. Lassen Sie Passwörter nicht sichtbar herumliegen (z.B. auf einem Post-it Zettel am Bildschirm) oder sich von einer anderen Person während der Eingabe des Passwortes auf die Finger schauen. Ein gut gewähltes Passwort, besteht aus:
- Alphanumerische Zeichen mit Buchstaben in grosser und kleiner Schreibweise
a-z, A-Z, 0-9 - Mindestens ein Spezialzeichen/Sonderzeichen
- Erlaubte Spezialzeichen/Sonderzeichen für nethz-Passwörter an der ETH Zürich:
# (Gartenhag), + Plus, , Komma, – Minus, . Punkt, / Schrägstrich (vorwärts), : Doppelpunkt, = Gleich, ? Fragezeichen, @ at, [ bracket auf, ] und zu, ^ Caret, { Geschweifte Klammer auf, } und zu, ~ Tilde - Mindestens eine Zahl
- Länge von mindestens 8 Zeichen bis maximal 30 Zeichen: Optimal 12 bis 16 Zeichen
- Keine Umlaute
- Keine Leerzeichen
- Kein Wörterbuch-Wort
Kreieren Sie Ihr eigenes Passwort
Ibma5TvISuD? (Ich berücksichtige mehr als 5 Tipps von IT Security und Du?)
#wm@1ISb?uvma12Z (Ich wende mich an einen IT Supporter bei Fragen und verwende mehr als 12 Zeichen)
WidWn9xs,dwds? (Warum ist die Welt nicht 9 mal sicherer, das wäre doch schön?)
Posted on
in Kommunikation, Mail, Web, Multimedia, Drucken, News, Passwort, Applikationen, Software, Arbeitsplätze, Speicher, Support, Wissenschaftl. Rechnen
11.1.2013 Update
Erlaubte Spezialzeichen/Sonderzeichen für nethz-Passwörter an der ETH Zürich sind gesondert aufgeführt
Es ist erwiesen, dass lange Passwörten den Erfolg von «Brute-Force Attacken» wesentlich reduzieren, noch viel mehr als Sonderzeichen. Deshalb schlagen wir vor – nicht nur hier an der ETH Zürich – Passwörter mit mindestens 12 Zeichen zu verwenden. (Brute-Force-Methode: Ausprobieren von allen möglichen potenziellen Lösungen, bis die richtige gefunden ist http://de.wikipedia.org/wiki/Brute-Force-Methode.)
IT Awareness
Die safeIT Awareness Kampagne umfasst IT-Hausregeln, den safeIT-Quiz und sechs IT Awareness-Cartoon-Videos http://www.safeit.ethz.ch/.
Passend zu diesem Post ist folgendes safeIT-Video zu empfehlen: «Avoid the misuse of systems and passwords»
http://www.multimedia.ethz.ch/misc/2010/safeIT/?doi=10.3930/ETHZ/AV-9f330fb1-93a4-4ab2-b945-9b7a14a83dc5
Unsichere Sicherheit:
Je sicherer ein Passwort ist, umso sicherer vergisst man es auch wieder. Ich jedenfalls kann mir die kryptischen Passwörter nicht mehr merken, daher muss ich sie mir zusammen mit Vermerk des Zutrittsbereiches oder der Webseite irgendwo aufschreiben und ablegen … vielleicht nicht gerade auf einem Zettel unter der Tastatur – aber wie sicher ist das ?
Daniel
Da muss ich Ihnen im Prinzip Recht geben: Je schwieriger die Passwörter ausgedacht sind, desto schwieriger ist es auch, sich an sie zu erinnern.
Unser Tipp vom Fachmann (Abteilung ID Software Services):
Passwörter müssen nicht unbedingt kompliziert sein, aber genügend lang, um «Brute-Force Attacken» zu vermeiden.
Es ist deshalb besser lange Passwörter zu wählen als kurze und kryptische. Man kann z.B. einen ganzen Satz wählen und ein Paar Sonderzeichen oder Fehler hinzufügen.
Auch ist es empfehlenswert, verschiedene Passwörter für die einzelnen Anwendungen, Applikationen etc. zu benutzen.
Um das Management der vielen Passwörter zu erleichtern kann man einen der vielen Password Manager zu Hilfe nehmen (http://de.wikipedia.org/wiki/Kennwortverwaltung).
Alle Passwörter werden dann mit einem einzigen Master Passwort entschlüsselt und können bei Bedarf aufgerufen werden.