NACH OBEN

IT-Sicherheitsvorfall/IT-Notfall | A-Z | Kontakt/Beratung

Sichere Passwörter

Alle Zugänge zu Systemen und Diensten der Ruhr-Universität Bochum sind grundsätzlich durch starke und einzigartige Passwörter zu schützen. Je nach Wichtigkeit/Bedeutung von Zugängen sind unter Umständen auch weitere Sicherheitsmaßnahmen zu treffen (z.B. 2FA). Passwörter für persönliche Zugänge dürfen nicht weitergegeben oder öffentlich gemacht werden.

Bei der Wahl eines Passwortes sind folgende Punkte zu beachten:

  • Nutzen Sie unterschiedliche Passwörter für unterschiedliche Dienste.
  • Ein Passwort sollte mindestens zwölf Zeichen, bestehend aus großen und kleinen Buchstaben, Sonderzeichen und Ziffern enthalten. Vermeiden Sie Begriffe, die z.B. in Wörterbüchern enthalten sein können, Datum, Namen,Tastaturkombinationen, ... Diese können schnell erraten werden.
  • Passwörter sind immer geheim zu halten und unbeobachtet einzugeben. Das bedeutet, dass man sie unter keinen Umständen an Dritte weitergibt, nicht auf Notizzetteln notiert, wo sie leicht eingesehen werden können, und auch nicht im Browser speichert. Ausnahmen gelten für Passwörter von gemeinsam genutzten Funktionsaccounts/Funktionsmailboxen. Diese Passwörter können im Team an Berechtigte weitergegeben werden.
  • Ein Passwort muss geändert werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht.
  • Passwörter zu Funktionsaccounts/Funktionsmailboxen müssen geändert werden, wenn ein Team-Mitglied ausscheidet oder keine Berechtigungen mehr erhalten soll.
  • Alte Passwörter dürfen nach Passwortänderung nicht mehr verwendet werden. Ein neues Passwort muss auch hinreichend unterschiedlich zum vorherigen Passwort sein. Unzulässig sind beispielsweise Passwortänderungen, bei denen nur ein einzelnes Zeichen verändert oder ein Zähler hochgesetzt wird.

Zusätzliche Sicherheit

Zusätzliche Sicherheit gewinnen Sie, wenn eine angebotene Zwei-Faktor-Authentifizierung nutzen oder eine ordentlichen Passwort-Manager-Software installieren (NICHT die Passwortspeicherung im Browser).

Passwörter werden nur dann sicher übertragen, wenn die Übertragung mit Hilfe eines verschlüsselten Dienstes (z. B. im Browser Internetseiten mit HTTPS oder im Homeoffice Nutzung des VPN…)  erfolgt.

Bilden Sie einen Satz, den Sie sich merken können und nutzen Sie die Anfangsbuchstaben für Ihr Passwort:

Der Ball ist rund und das Runde muss ins Eckige!
Ergibt das Passwort: DBirudRmiE!

Sie können bestimmte Zeichen durch Ziffern oder Sonderzeichen ersetzen, um die Komplexität Ihres Passwortes zu erhöhen:

Aus „B“ wird „8“, aus „u“ (für und) wird „&“; aus „E“ wird „3“:
D8ir&dRmi3!

Wenn Sie das Passwort unbedingt für die unterschiedliche Dienste nutzen möchten, erweitern Sie es:
Passwort für den Hochschuldienst. Die ersten beiden Buchstaben des Dienstes können dem vorhandenen Passwort vorangestellt werden bzw. angehängt werden:
    HD8ir&dRmi3!o

Verwenden Sie nicht das obige Beispiel, sondern denken Sie sich einen eigenen Satz aus.

  • Verwenden Sie nterschiedliche Passwörter für unterschiedliche Rollen.
  • Ein Admin-Account hat umfangreichere Rechte als „normale Nutzer“. Daher muss das Admin-Passwort noch besser geschützt sein. Deshalb nutzen Sie für einen Admin-Account besonders lange (mehr als zwölf Zeichen) und komplexe Passwörter und wenn möglich immer eine Mehr-Faktor-Authentifizierung.

Authentifizierungsverfahren, die biometrische Daten abfragen, wie zum Beispiel der Fingerabdrucklesegerät am Notebook oder die Gesichts- und Spracherkennung am Smartphone sind bequem, aber nur auf den ersten Blick wirklich sicher.

  • Biometrische Daten können immer einfacher erbeutet, Bilder und Stimmen mit künstlicher Intelligenz gefälscht werden.
  • Werden biometrische Daten gestohlen oder kommen abhanden, sind sie für die weitere Nutzung unbrauchbar, da sie im Gegensatz zu Passwörtern nicht änderbar sind.
  • Es sollten zudem nur solche biometrischen Anmeldeverfahren genutzt werden, bei denen die biometrischen Daten nur lokal auf dem IT-Gerät verarbeitet werden.

Bei biometrischen Verfahren sollten Sie beachten:

  • Biometrische Merkmale nur sparsam und für Anwendungen vertrauenswürdiger Anbieter verwenden.
  • Stets einen zweiten Faktor verwenden.
  • Unterschiedliche biometrische Merkmale für Anmeldung/Entsperrung und Apps verwenden.