Passwörter

Mit der stets weitergehenden Integration des Internets in fast alle Lebensbereiche werden geschützte Zugänge zu Diensten oder Daten immer häufiger. Meist besteht dieser Schutz darin, dass eine geheime Information nötig ist, um sich anmelden, einloggen zu können. Da die geschützten Zugänge fast immer auch personalisiert sind, gehört zu der geheimen Information auch eine eindeutige ID. Häufig wird dafür eine schon vorhandene E-Mail-Adresse, die per se weltweit eindeutig sein muss, verwendet. Jeder, der diese beiden Informationen kennt, kann sich als „eben dieser“ Benutzer ausgeben. Im Computer- und Medienservice der HU können alle Angehörigen der HU (Studierende und Mitarbeiter/innen) einen solchen personalisierten Zugang bekommen, der aus dem HU-Account und einem Passwort besteht. Dieses Passwort ist sehr sorgsam zu verwenden. Abgesehen von den eigenen Daten sind HU-Accounts immer wieder Ziel von Hackern. Der Grund ist meist die enorm schnelle, d.h. die breitbandige stabile Anbindung des HU-Netzes an das Internet. So könnten in Sekundenbruchteilen massenhaft E-Mails versendet werden, oder massive Angriffe auf andere Computer im Netz erfolgen. Das ist einer der Gründe, warum der CMS besonderen Wert auf den korrekten Umgang mit dem HU-Account legt. Es ist eben kein Kavaliersdelikt, wenn man diesen, mal eben kurz, seinem Partner zur Nutzung zur Verfügung stellt. Und was es bedeutet, wenn einem seine eigene Identität gestohlen wird, kann hier in einem Artikel der Zeitschrift c’t nachgelesen werden: http://www.heise.de/ct/artikel/Risiko-Identitaetsklau-1740579.html

Warum muss ich mein Passwort einmal im Jahr ändern? Warum so komplizierte Bedingungen?

Wenn Sie sich eine dieser Fragen schon einmal stellten, waren Sie sicher schon sehr frustriert, weil Sie kein neues Passwort gefunden haben, das unseren Regeln entspricht und auch Ihnen gefällt. Oder Sie hatten gerade keine Zeit, auch noch Ihr Passwort zu ändern – es gibt immer wichtigeres zu tun.

Wir möchten Ihnen gerne erklären, warum, was von uns verlangt wird und worum es uns geht.

Wir wollen Ihnen keineswegs die Verpflichtung abnehmen, verantwortungsbewusst mit Ihrem HU-Account umzugehen. Wir können davon ausgehen, dass Sie als Angehörige(r) der HU dazu in der Lage sind. Und selbstverständlich werden wir uns auch sofort an Sie wenden, wenn Ihr HU-Account missbraucht wurde. (An dieser Stelle würde der eine oder andere schon froh sein, dass wir nicht den Vorwurf erheben können, das benutzte Passwort war zu einfach und so wurde ein Missbrauch erst möglich. Dazu später mehr.)

Mein HU-Account ist doch kein Bankkonto, also was soll …

Sicher, was schadet es Ihnen, wenn jemand mit Hilfe Ihres HU-Accounts E-Mails verschickt? Vielleicht ist es Ihnen sogar egal, wenn ein Fremder Ihre E-Mails lesen kann, Sie haben ja nichts zu verbergen.
Problematisch wird das ganze jedoch, wenn so viele E-Mails mit Ihrem HU-Account versendet werden, dass die HU anderen Mailprovidern als Spam-Schleuder auffällt und diese unsere Mailserver vom E-Mailaustausch ausschließen. Stehen unsere Mailserver erst einmal in einer schwarzen Liste, können auch alle anderen Nutzer, also nicht nur Sie, keine E-Mails mehr versenden und auch keine neuen empfangen (Diesen Fall hatten wir zum Glück bisher nur einmal. Unser Postmaster ist da nicht gut drauf zu sprechen). Der Imageschaden für eine Universität, der so etwas passiert, ist leicht vorstellbar.

Natürlich ist es leicht, E-Mail-Adressen zu fälschen und als Absender zu benutzen. Dazu muss kein Account geknackt werden. Doch die Antwort auf eine gefälschte Absenderadresse kann der Fälscher nicht bekommen, auf eine geknackte HU-E-Mail-Adresse schon. Und wer mit einem Absender …hu-berlin.de E-Mails versenden und empfangen kann, weckt damit beim Empfänger ein hohes Vertrauen und wirkt glaubwürdig (Identitätsdiebstahl). Er könnte sich zum Beispiel vergünstigte Software beschaffen und diese dann auch noch im Internet verteilen. Sollte Ihnen dies mit Ihrem HU-Account passieren, können Sie schnell in arge Erklärungsnöte geraten.

Ein anderes Beispiel. Die hohe Bandbreite der Internetanbindung einer Universität ist für Angreifer immer ein lohnendes Ziel. So lassen sich schnell riesige Datenmengen umschaufeln. Mit einem gekaperten HU-Account ist dann schon der erste Schritt getan, ein kleiner Spalt der Tür zu unseren Servern ist geöffnet. Und da auch wir nicht vor Sicherheitslücken gefeit sind, hat ein Server schnell mal den Besitzer gewechselt (auch das hatten wir schon).

Was soll ich mit einem Passwort, das ich mir nicht merken kann?

Hier muss sicher unterschieden werden zwischen tatsächlich zu einfachen Passwörtern (eine Auswertung hat ergeben, dass das meistgenutzte Passwort bei einem Provider, der keine Regeln zum Passwort festgelegt hat, password war), und Passwörtern die stark sind, jedoch nicht unseren Regeln entsprechen (das kommt häufig dann vor, wenn ein Lieblingspasswort benutzt werden soll).

Passwort ist zu einfach

Dazu muss nicht viel gesagt werden. Alle Passwörter auszuprobieren (brute force attack) ist bei den von uns betriebenen Systemen nicht möglich. Also versuchen es Angreifer auf gut Glück, Passwörter zu erraten. Das Dilemma für Sie ist es nun, ein Passwort zu erfinden, dass sich leicht merken lässt und schwer zu erraten ist. Dass keine Wörter im Passwort stehen dürfen, macht es noch schwieriger. Sie sollen sich etwas merken, was man sich nicht leicht merken kann. Hier eine Möglichkeit, Buchstaben zu benutzen und Wörter zu vermeiden. Verwenden Sie nur die Anfangsbuchstaben eines leicht zu merkenden Satzes.

Beispiel:

aus
Am Brunnen vor dem Tore,
Da steht ein Lindenbaum;

wird
ABvdT,DseL;
Fehlt noch eine Ziffer. B und 8 sehen sich ähnlich und aus ein machen wir 1 (Ziffer Eins), also kann das Passwort so lauten: A8vdT,Ds1L: (bitte nicht dieses Passwort benutzen! Auch Beispielpasswörter werden gerne verwendet).

Noch besser wäre es, wenn Sie keine Sätze verwenden, die andere auch kennen. Unser Beispiel ist, wie alle Beispiele für Passwörter, ein schlechtes Beispiel. Unser Beispielsatz ist demnach auch eine schlechte Vorlage für ein gutes Passwort. Beispielpasswörter kann man leicht googlen (siehe Webcrawler, Wikipedia).

Lieblingspasswort

Ein Lieblingspasswort kann es nicht geben. Sollten Sie der Meinung sein, nur ein Passwort für alle Ihre Accounts benutzen zu müssen, haben Sie selbst Tür und Tor für den Missbrauch geöffnet. Woher wissen Sie, wie Provider mit Ihrem Lieblingspasswort umgehen? Mir persönlich sind etliche Provider bekannt, die mir bei Bedarf mein Passwort im Klartext per E-Mail zuschicken, der Provider hat offensichtlich die Möglichkeit, an die Klartextpasswörter zu gelangen. Angenommen, eine Sicherheitslücke ermöglicht einem Hacker den Zugang zu allen Kunden-Passwörtern eines solchen Providers? Ihr Provider wird sich nicht für Ihre anderen (geknackten) Zugänge verantwortlich fühlen. Oder, angenommen, der Provider selbst ist nicht vertrauenswürdig? Die Schlussfolgerung kann nur lauten:
Finger weg von gleichen Passwörtern bei verschiedenen Providern!
(auch das Benutzen von Varianten eines Stammpasswortes für verschiedene Provider ist nicht ratsam, auch solche Bildungsregeln können von einem pfiffigen Hacker erkannt werden)

Wir speichern nur einen Hashwert Ihres Passwortes in einer Datei, auf die kein Nutzer zugreifen kann. Der Hashwert ist eine Art Fingerabdruck des Passwortes. Er wird mit einer Einwegrechenoperation ermittelt, d.h. es gibt dafür keine Umkehroperation. Genaugenommen ist es nur äußerst schwierig, die Operation umzukehren. Daher können auch wir Ihnen nicht Ihr Passwort mitteilen, wir kennen es nicht. Und sollte uns die Datei mit den Hashwerten doch abhandenkommen, haben alle Nutzer kryptografisch starke Passwörter, die nicht in kürzester Zeit geknackt werden können. Dies soll jedem die Zeit geben, sein Passwort zu ändern, bevor es geknackt wird.

Was heute schon möglich ist, um aus Hashwerten Passwörter herzuleiten, ist hier sehr gut beschrieben:
Die Passwortknacker, Artikel aus der Zeitschrift c’t

Selbst die PIN meiner EC-Karte besteht nur aus 4 Ziffern

Das stimmt, nur ohne Karte ist selbst eine bekannte PIN nutzlos. Und ein Finder der Karte hat nur drei Versuche und dann bleibt die Karte im Automaten. Sie gehen zur Bank und bekommen eine neue. Sie werden jedoch bestimmt nicht nach drei fehlerhaften Passworteingaben persönlich zu uns kommen wollen. Oder stellen Sie sich nur einmal vor, ein Dritter gibt drei Mal ein falsches Passwort für Ihren Account ein.

Da dieser Vergleich oft herangezogen wird. Wer hat schon mal bei seiner Bank vorsprechen müssen, weil mit seiner EC-Karte und seiner PIN Geld abgehoben wurde? Da werden sich nicht viele melden können (und wollen). Doch die, denen das passierte, finden es sicher nicht spaßig, wenn sie beweisen sollen, dass die PIN nur in ihrem Kopf stand.
Angenommen, Ihre Bank glaubt Ihnen, wird sie Ihr Konto ausgleichen – die Zeche zahlen dann alle Kunden Ihrer Bank. Einen Imageschaden oder einen Verlust an Glaubwürdigkeit lassen sich nicht einfach mit Geld begleichen.

Bei anderen Providern muss das Passwort nie geändert werden

Das stimmt, wenn die Betonung auf muss liegt. Doch wer sich die Mühe macht, und die Nutzungsbedingungen studiert, wird erfahren, dass alle einen regelmäßigen Passwortwechsel empfehlen. Und was passiert bei einem Missbrauch? Der Provider wird sehr wohl darauf verweisen, dass er ja eine regelmäßige Änderung des Passwortes empfiehlt. Wer dies nicht beachtet muss auch für den Schaden geradestehen. Etwas anders ist die Rechtslage, wenn der Provider zusätzliche Maßnahmen nutzt, damit ein Passwortmissbrauch keinen Schaden anrichten kann. Ein beliebtes Mittel ist bspw. die Benutzung von TANs.

Okay, das ist unsere Meinung, was sagen andere?

• Wikipedia
• BSI für Bürger
• Philognosie – wirkendes Wissen
• RZ Uni Koblenz Landau
• BITKOM
• techfacts RATGEBER

Ein paar allgemeine Tipps rund ums Passwort

• Geben Sie keine sinnvollen Antworten auf Sicherheitsabfragen zum Zurücksetzen von Passwörtern. Wie viele sinnvolle Antworten gibt es bspw. auf „Welche Augenfarbe hat Ihre Freundin?“?
• Schreiben Sie sich komplizierte Passwörter auf. Cyberkriminelle werden kaum in Ihrer Wohnung danach suchen.
• Benutzen Sie Ihre Passwörter nie an Computern, deren Betreiber Sie nicht vertrauen. Lässt sich das nicht vermeiden, ändern Sie umgehend Passwörter, die Sie an solch fragwürdigen Computern, z.B. in einem Internetcafé, benutzten.
• Benutzen Sie keine Passwörter oder andere Zugangsdaten in ungesicherten WLANs ohne zusätzliche Sicherheitsmaßnahmen (VPN, https). Alle Nutzer eines solchen WLANs können Ihre Datentransfers mitlesen!
• Testen Sie, wie Ihr Provider reagiert, wenn Sie Ihr Passwort vergessen haben.
• Benutzen Sie niemals gleichen Passwörter für verschiedene Accounts.
• Benutzen Sie keine Variationen eines Masterpasswortes.
• Ändern Sie vorgegebene Passwörter umgehend (z.B. an Ihrem WLAN-Router zu Hause).
• Wenn Sie Passwörter eingeben müssen, stellen Sie sicher, dass Sie auf der richtigen Webseite bzw. in der richtigen Software sind. Geben Sie stets die Ihnen bekannte Web-Adresse selbst ein – niemals die gesuchte Seite googlen!

Ein paar spezielle Hinweise zum Passwort Ihres HU-Accounts

• Alle Infos zum HU-Account finden Sie hier https://amor.hu-berlin.de/ . Hier finden Sie auch Links zu den Webseiten, auf denen Sie sich mit Ihrem HU-Account einloggen können.
• Achten Sie auf eine sichere Verbindung (Vorhängeschloss-Symbol im Webbrowser), bevor Sie Ihr Passwort eintippen.
• Wir werden Sie niemals auffordern, uns Ihr Passwort oder Ihre PIN zu nennen oder per E-Mail zuzusenden. Geben Sie Ihr Passwort nur auf den Ihnen bekannten Webseiten ein.
• Wir kennen Ihr Passwort nicht. Wenn Sie ein neues benötigen, können wir Ihnen dies nur persönlich mit der Hauspost zuschicken, persönlich übergeben, oder, wenn Sie ein persönliches Zertifikat vom CMS haben, können Sie es selbst zurücksetzen (Studierenden können dies mit Hilfe ihrer PIN).
• Wir werden kein Passwort am Telefon durchgeben, per Fax oder gar per E-Mail verschicken.
• Behalten Sie Ihr Passwort stets geheim. Wenn Sie es selten benutzen, schreiben Sie es sich auf ein Blatt Papier und bewahren es an einem sicheren Ort (nicht unter Ihrer Tastatur und möglichst ohne Zusammenhang zum HU-Account) auf.
• Speichern Sie niemals Passwörter im Webbrowser, im E-Mail-Programm oder in sonst irgendeiner Software, wenn Sie nicht ausschließen können, dass Ihr Computer von Dritten benutzt werden kann. Diese können in jedem Fall Ihre Zugänge mit Hilfe Ihres Computers missbrauchen, und häufig auch leicht gespeicherte Passwörter im Klartext auslesen!
• Versuchen Sie nicht, das „Lieblingspasswort“ Ihres HU-Accounts nur hin und zurück zu ändern. Sie unterlaufen damit unsere Sicherheitsanforderungen.
  

  Ich habe einen Wunsch

Da ich mich schon sehr lange und intensiv mit der Problematik befasse, bin ich auch sehr daran interessiert, was andere dazu zu sagen haben. Wie gehen Sie mit Ihren Passwörtern um (nicht nur mit dem HU-Account-Passwort? Sicher haben auch Sie nicht nur den Zugang zum HU-Account. Schreiben Sie mir einfach eine E-Mail: frank.olzog@cms.hu-berlin.de