Passwortsicherheit / Password Security
Passwortsicherheit
Benutzerkonten werden durch Passwörter geschützt. Ein Blick in die Top Ten der häufigsten Passwörter in Deutschland zeigt, dass viele Menschen die Bedeutung sicherer Passwörter auch heute noch unterschätzen. So zählen Zahlenfolgen wie „123456“ und „12345“ sowie „hallo123“ und „passwort“ zu den am meisten genutzten Passwörtern. Für geübte Angreifer sind solche Passwörter sehr einfach zu erraten. Zudem gibt es automatisierte Verfahren, mit denen Angreifer in Sekundenschnelle Millionen von Passwörtern ausprobieren können. Ist das Passwort geknackt, hat der Angreifer vollen Zugriff auf das Konto und damit auf alle Informationen und Daten, die mit dem Konto verarbeitet werden (Adressen, Kreditkartennummern, Fotos etc.). Auch durch die Veröffentlichung oder den Verkauf von erbeuteten Login-Daten kann Identitätsmissbrauch betrieben und Daten können kopiert, verändert oder zerstört werden.
Deshalb ist es wichtig, ein sicheres Passwort zu wählen. Was ein sicheres Passwort ausmacht, lesen Sie weiter unten. Generell sollten Sie mit Ihren Passwörtern genauso sensibel und verantwortungsbewusst umgehen, wie mit Ihrem Wohnungsschlüssel oder der PIN Ihrer EC-Karte.
Tipps, Tricks und Regeln für Passwörter
Passwörter regelmäßig ändern?
Lange herrschte die Meinung vor, Passwörter müssen regelmäßig geändert werden. Neuere Forschung zeigt aber, dass die regelmäßige Änderung der Passwörter nicht zu mehr Sicherheit beiträgt [2][3]. Im Gegenteil, umso öfter man Passwörter ändern muss, umso schlechter kann man sich diese merken. Nutzer tendieren daher dazu, alte Passwörter bei der Passwortänderung nur minimal zu verändern oder sich Passwörter aufzuschreiben.
Hat man also einmal ein sicheres Passwort gewählt, muss es nur dann geändert werden, wenn es bekannt geworden ist. Daher sollten Sie in regelmäßigen Abständen prüfen, ob Ihre Kennwörter noch als sicher gelten, indem Sie einen Identity Leak Check durchführen.
Beim Verdacht, dass Kennwörter ausgespähbar, oder kompromittierbar sind und oder anderweitig bekannt wurden, sollten diese umgehend geändert werden.
Wie Sie Ihr THWS-Passwort ändern, können Sie hier auf den Seiten des IT Service Centers nachlesen.
Tipps für sichere Passwörter
- Ein sicheres Passwort sollte mindestens zehn (besser mehr) Zeichen lang sein.
- Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
- Das Passwort sollte jedoch keine Umlaute enthalten, da manche Programme diese falsch verarbeiten und sie im Ausland auf landestypischen Tastaturen nicht zu finden sind.
- Man sollte kein Passwort verwenden, auf das man leicht rückschließen kann (Familienname, Angehörige, Haustiere, Geburtstage etc.)
- Sichere Passwörter stehen in keinem Wörterbuch.
- Das Passwort darf nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht „asdfgh“, „1234abcd“, „qwertz“, „1qay2wsx“ und so weiter.
Wie merkt man sich ein gutes Passwort? [1]
Für das Merken von Passwörtern gibt es Tricks. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen.
Hier ein Beispiel:
"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die ersten Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1".
Auf diese Weise hat man sich eine gute "Eselsbrücke" gebaut. Wichtig ist, dass sich der Benutzer des Passwortes den Satz selbst ausgedacht hat. Werden zum Beispiel die Anfangsbuchstaben eines Literaturzitates oder Kinderliedes als Passwort gewählt, dann ist auch das daraus abgeleitete Passwort leicht zu erraten.
Wenn Sie ein Passwort ändern, tun Sie das zu Beginn einer permanenten Nutzung (z. B. zum Semesterstart), nicht vor einem längeren Urlaub oder einer längeren Abwesenheit.
Passwörter nicht notieren!
Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf einem Notizzettel am Bildschirm oder unter der Tastatur kleben.
Wer viele Konten hat, kann einen Passwort-Manager nutzen, wie zum Beispiel keepass. Ein Passwort-Manager merkt sich alle Passwörter und er hilft Ihnen, sichere Passwörter zu generieren. Sie müssen sich dann nur noch ein sicheres Master-Passwort für den Zugriff auf den Passwort-Manager überlegen und merken. Mit diesem Master-Passwort haben Sie dann Zugriff auf Ihre anderen Passwörter. Ist allerdings das Master-Passwort bekannt, kann auf alle im Passwort-Manager abgelegten Passwörter zugegriffen werden!
Stellen Sie daher unbedingt sicher, dass Sie ein nicht zu erratendes, langes und komplexes Passwort als Master-Passwort nutzen!
Das gleiche Passwort nicht mehrfach verwenden
Problematisch ist die Gewohnheit, das gleiche Passwort für verschiedene Konten zu verwenden. Also z. B. ein und dasselbe Passwort für das Online-Banking und für soziale Netzwerke. Gerät das Passwort eines einzelnen Kontos in falsche Hände, hat der Angreifer gleich Zugriff auf mehrere Konten.
Daher muss pro Anwendung jeweils ein individuelles Passwort gewählt werden!
Voreingestellte Passwörter ändern [1]
Bei vielen Softwareprodukten werden bei der Installation (beziehungsweise im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit neuen Passwörtern zu versehen. Deshalb ist es ratsam, in den Handbüchern nachzulesen, ob solche Accounts vorhanden sind und wenn ja, diese unbedingt mit eigenen Passwörtern abzusichern. Passwörter nicht an Dritte weitergeben oder per E-Mail versenden
Wenn Sie Ihre Passwörter an Dritte weitergeben, verlieren Sie die Kontrolle darüber und Sie haben sich umsonst die Mühe gemacht, ein gutes Passwort zu wählen. Geben Sie Ihr Passwort niemals an Dritte weiter!
Versenden Sie Passwörter auch niemals per E-Mail. In der Regel werden E-Mails unverschlüsselt versandt. Unverschlüsselte E-Mails können von Dritten auf ihrem Weg durch das Internet mitgelesen werden.
Versenden Sie Passwörter also niemals per E-Mail und geben Sie Ihr Passwort niemals an Dritte weiter!
Sind Ihre Zugangsdaten bekannt? Machen Sie einen Identity Leak Check!
Das Internet bietet Services, bei denen Sie überprüfen können, ob Ihre Zugangsdaten (E-Mail-Adressen und Passwörter) öffentlich bekannt sind. Diese Daten könnten z. B. durch einen Datenleak (DataBreach) in der Vergangenheit bekannt geworden sein. Beispielsweise erbeuteten Hacker 2012 bei Dropbox 68 Mio. E-Mail-Adressen mit dazugehörigen (verschlüsselten) Passwörtern. Sofern die Hacker diese wertvollen Informationen nicht selbst verwenden, verkaufen Sie diese häufig über das sogenannte Darknet.
Services, bei denen Sie anhand Ihrer E-Mail-Adresse überprüfen können, ob Ihre Daten Teil eines Identity Leaks sind, werden vom Hasso-Plattner-Institut (HPI) und vom IT-Sicherheitsexperten Troy Hunt (Have I been Pwned) angeboten.
Die Wahrscheinlichkeit, dass auch Sie Opfer eines solchen Datenleaks geworden sind, ist sehr hoch. Das HPI gibt beispielsweise an, dass täglich knapp 820.000 Accounts veröffentlicht werden.
Um Ihre E-Mail-Adresse zu prüfen, geben Sie diese einfach auf den Webseiten der Anbieter ein. Beim Dienst "Have I been Pwned" erhalten Sie umgehend eine Rückmeldung, beim HPI erhalten Sie diese Rückmeldung per E-Mail.
Dienst | Link | Anbieter |
Have I Been Pwned | Troy Hunt | |
Identity Leak Check | Hasso Plattner Institut (HPI)
|
Bitte lassen Sie nur Ihre eigene(n) E-Mail-Adresse(n) durch die Dienste prüfen, da im Falle des Dienstes des HPI die Benachrichtigungs-E-Mail an diese Adresse versendet wird.
Sollte Ihre THWS E-Mail-Adresse in einem der Leaks enthalten sein, so wenden Sie sich bitte unverzüglich an den ITSC-Helpdesk der THWS und ändern Sie vorsorglich Ihr Passwort!
-> Webseite des ITSC: https://itsc.thws.de/
Standort | Telefon | |
Würzburg | helpdesk.itsc[at]thws.de | 0931 3511-6260 |
Schweinfurt | helpdesk.itsc[at]thws.de | 0931 9721-6262 |
Sollte Ihre private E-Mail-Adresse in einem der Leaks enthalten sein, empfehlen wir Ihnen dringend, Ihre Passwörter zu ändern, für alle Dienste die Sie mit dieser E-Mail-Adresse nutzen!
Weitere Informationen zu Ablauf, Nutzen und Quellen der Identity Leak Checks finden Sie in den FAQs auf der jeweiligen Seite.
Quellen: (Vgl. [4] [5])
Authentifizierungsrichtlinie der THWS
Die THWS hat eine Authentifizierungsrichlinie für Hoschulangehörige herausgegeben. Ebenfalls gibt es einen Schulungskurs.
Richtlinien: https://intranet.thws.de/stabsstellen/informationssicherheit-und-datenschutz/richtlinien/
------------------------------
Schulungskurs für Studierende: https://elearning.thws.de/course/view.php?id=20197
Schulungskurs für Personal: https://elearning.thws.de/course/view.php?id=20196
Password security
User accounts are secured by passwords. Having a look at the top ten of the most popular passwords in Germany reveals that, even today, many people severely underestimate the importance of secure passwords. Among the most-used passwords are number sequences like “123456”, “12345”, combinations of such with simple words like “hello123” and the all-time favourite “password”. For skilled hackers, it is a cakewalk to guess such passwords. In addition, there are automated processes hackers use to test millions of passwords within a matter of seconds. Once the password is cracked, the attacker gains full access to the account and hence to all data and information handled via the account (addresses, credit card numbers, photos, etc.). Publishing or selling the seized login details may also lead to identity fraud, and to the copying, alteration or destruction of data.
It is therefore important to choose a secure password. So what makes a secure password? Please read our advice below. In general, you should treat your passwords as responsibly as the keys to your home or the PIN of your EC card.
Tips, tricks and rules for passwords
Should I change passwords regularly?
For a long time, experts shared the opinion that passwords need to be changed regularly. However, current research proves that changing passwords regularly does not add to security anymore [2] [3]. Actually, the opposite is the case: The more often you change a password, the harder it gets to remember it. Thus, users tend to use slightly different versions of their old passwords when changing it or to write their passwords down.
So if you have chosen a secure password, it only needs to be changed once it has been leaked. It is advisable to regularly check whether the passwords are still considered secure by performing an Identity Leak Check.
If you suspect that your passwords are easily spied on, are compromisable, or have been leaked otherwise, you should change them immediately.
Please visit the websites of the IT Service Centre (available in German) to read how you change your password: Password change.
Tips for secure passwords
- A secure password should have at least ten (or more) characters.
- It should consist of upper and lower case letters and special characters (?!%+…).
- However, the password should not contain umlaut letters (ä, ö, ü), as some programmes will process them incorrectly, and they cannot be found on most country-specific keyboards.
- Do not use passwords hackers can easily guess (surname, relatives, pets, birthdays, etc.).
- Secure passwords are found in no dictionary.
- Your password must not consist of well-known variants and repetitions of keyboard patterns like “asdfgh”, “1234abcd”, “qwertz”, “1qay2wsx” etc.
How to memorise a good password? [1]
There are some tricks to memorise passwords more easily. A very popular method works like this: You make up a sentence and only use the first letter of each word (or only the second or last letter). Then you write certain letters as numbers or special characters.
Example:
“I get up in the morning and brush my teeth for three minutes.” Only use the first letter of each word: “Iguitmabmtftm”. “I” looks like the digit “1”, “&” replaces the “and”, “4” replaces “for” and “3” replaces “three”: “1guitm&bmt43m”.
By applying this method, you can build a mnemonic you can remember easily. It is important that the password user makes up the password her/himself. If you use the first letters of a quote from literature or a children’s song, it will be relatively easy to guess the password derived from it.
When you change a password, please do so before you begin a period of permanent use (e.g. when the semester starts) and not before your holidays or a period of longer absence.
Do not write down passwords!
You should never store passwords on your PC unencrypted, neither should you write them down on sticky notes on your screen or keyboard.
If you have many accounts to handle, you may want to use a password management software, e.g. keepass. A password manager stores all of them and helps you generate secure passwords. All you have to do is create and memorise a secure master password to access the password manager. The master password grants you access to all other passwords stored. The downside: If an attacker knows the master password, s/he will have access to all passwords stored in the password manager.
Thus, it is imperative to ensure that your master password is complicated and long enough that no one will ever find out!
Do not use the same password multiple times!
It is a bad habit to use the same password for multiple accounts. For example, one and the same password used for online banking and social networks. If the password of a single account gets into the wrong hands, the attacker gains access to several accounts at once.
Thus, you have to assign an individual password to each application!
Change default passwords [1]!
In many software products, placeholder passwords or generally-known passwords are used for the purpose of installation (or as factory setting). Hackers are aware: In an attack, they first check if users have forgotten to assign new passwords to these accounts. It therefore makes sense to read manuals if such accounts are present and, if that is the case, to immediately secure them with appropriate passwords. Do not pass on passwords to third parties or by e-mail.
If you pass on your password to third parties, you will lose control over it and the efforts invested into the creation of a good password is lost. Therefore: Never tell your password to others!
Never send passwords by e-mail. By default, e-mails are sent unencrypted. Everybody can read unencrypted e-mails on their way through the internet.
Thus, never send passwords by e-mail and never let anyone know about your passwords!
Does anyone else know your login details? Perform an Identity Leak Check!
There are services on the internet which can check whether your login details (e-mail addresses and passwords) are known to the public. This data might have been revealed through a data breach or leakage in the past. For example, in 2012, hackers could steal 68 million e-mail addresses together with their (encrypted) passwords from Dropbox. If hackers do not use the valuable information themselves, they often sell it via the so-called darknet.
Services that allow you to check whether your data is part of an identity leak using your e-mail address are offered by the Hasso Plattner Institute (HPI) and IT security expert Troy Hunt (Have I been Pwned).
The probability that you too have been a victim of such a data leak is very high. The HPI, for example, states that almost 820,000 accounts are published every day.
To check your email address, simply enter it on the providers' websites. With the "Have I been Pwned" service, you will immediately receive a response; with the HPI, you will receive this response by e-mail.
Dienst | Link | Anbieter |
Have I Been Pwned | Troy Hunt | |
Identity Leak Check | Hasso Plattner Institut (HPI)
|
Please only let your own e-mail address(es) be checked via the services, as in case of the HPI, a notification e-mail will be sent to the address you are checking.
If your THWS e-mail address shows up in one of the leaks, please immediately contact the ITSC help desk at THWS and change your password as a precaution!
-> Website of the IT Service Centre: itsc.thws.de
Standort | Telefon | |
Würzburg | helpdesk.itsc[at]thws.de | 0931 3511-6260 |
Schweinfurt | helpdesk.itsc[at]thws.de | 0931 9721-6262 |
If your private e-mail address shows up in one of the leaks, we recommend you to change your passwords used in connection with this e-mail address immediately!
You will find further information on the processes, purposes and sources regarding Identity Leak Checks in the FAQ sections of the corresponding pages.
Sources: (Cf. [4] [5])
Authentification Policy & Training course
The THWS has implemented a binding authentication policy for members of the THWS. A trainings-course has also been created in the THWS-E-learning Tool.
Policy: https://intranet.thws.de/stabsstellen/informationssicherheit-und-datenschutz/richtlinien/
------------------------
Training course for students: https://elearning.thws.de/course/view.php?id=20197
Training course for staff: https://elearning.thws.de/course/view.php?id=20196
Literaturverzeichnis
[1] BSI für Bürger, „Passwörter,“ Bundesamt für Sicherheit in der Informationstechnik, www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html).
[2] Y. Zhang, F. Monrose und M. K. Reiter, „The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis,“ in CCS '10: Proceedings of the 17th ACM conference on Computer and communications security, Illinois, Chicago, USA, 2010. Abrufbar unter: dl.acm.org/doi/abs/10.1145/1866307.1866328
[3] S. Chiasson und P. C. van Oorschot, „Quantifying the security advantage of password expiration policies. 77. 10.1007/s10623-015-0071-9.,“ Designs Codes and Cryptography, 2015. Abrufbar unter: people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf
[4] T. Hunt, „Have I Been Pwned,“ [Online]. Available: haveibeenpwned.com. [Zugriff am 26 02 2020].
[5] Hasso-Plattner-Institut, „Identity Leak Check,“ [Online]. Available: sec.hpi.de/ilc/. [Zugriff am 26 02 2020].