Im Merkblatt zum Umgang mit Passwörtern sind die wichtigsten Punkte dieser Policy kurz zusammengefasst.
Weiters ist diese Policy ohne Hinweise und Erläuterungen als PDF-Datei downloadbar.

Zweck

Eine sichere IT-Infrastruktur erfordert es, dass BenutzerInnen nur die Services und Daten zur Verfügung haben, zu deren Nutzung sie berechtigt sind (Autorisierung). Dreh- und Angelpunkt dabei ist die sichere Verwendung von BenutzerInnenkennungen und Passwörtern. Die Policy legt daher einen Mindeststandard für Passwörter an der Universität Wien fest.

Anmerkungen
BenutzerInnen geben sich mit der Eingabe ihrer Kennung und ihres Passworts dem System gegenüber als eine bestimmte Person zu erkennen (Ausnahme: administrative Kennungen). Das bedeutet:

  • sie erhalten Zugang zu bestimmten Daten und Services,
  • sie können bestimmte Daten verändern und Handlungen vornehmen (z. B. Diensthandy bestellen),
  • ihre Handlungen können ihnen zugerechnet werden (wichtig z. B. bei der Eingabe von Noten).

Passwortsicherheit dient also nicht bloß dem Schutz Ihrer Daten, sondern ist darüberhinaus nötig, um die Verantwortlichkeiten bei Geschäftsprozessen der Universität Wien zu klären und den Anforderungen des Datenschutzes nachzukommen.

1. Anwendungsbereich

Diese Policy bezieht sich auf BenutzerInnenberechtigungen, die vom Zentralen Informatikdienst (ZID) der Universität Wien im Rahmen allgemeiner Services vergeben und verwaltet werden (u:account-UserIDs etc.). Die zugehörigen Passwörter werden im Folgenden als ZID-Passwörter bezeichnet.

Anmerkungen
Diese Passwort-Policy konzentriert sich bewusst auf die Massenservices des ZID. Hier besteht der größte Regelungsbedarf und - in Hinblick auf die Zahl der AnwenderInnen - das größte Risiko.

2. Policy

2.1. Wahl eines sicheren Passworts

Passwörter müssen so gestaltet sein, dass sie ausreichenden Schutz gegen zu erwartende Angriffe bieten. Ein sicheres Passwort im Sinne dieser Policy

  • ist mindestens acht Zeichen lang
  • ist nicht identisch mit einer bestehenden BenutzerInnenkennung und
  • enthält mindestens einen Buchstaben (a-z, A-Z) und ein anderes Zeichen (Ziffer und/oder Sonderzeichen).

Weitere Merkmale können bei Bedarf vom ZID im Hinblick auf aktuelle Bedrohungsszenarien festgelegt und bekanntgemacht werden.

Policykonforme Passwörter sind beispielsweise: "m.E.isdaeiguPw", "Hier-werd-ich-gscheit!", "Dw1B&k1.", nicht konforme und unsichere Passwörter sind beispielsweise: "12345678", "qwertzuiop".

Security vs. Usability

Es wurde großer Wert darauf gelegt, bei der Konstruktion des Passworts zwei Anforderungen optimal zu gewichten:

  • die geschützten Services müssen mit ausreichendem Komfort nutzbar bleiben,
  • die technischen Sicherheitsanforderungen müssen erfüllt werden.

Wo diese beiden Ziele einander widersprachen, wurde der für die ZID-Services im gegebenen Umfeld tatsächlich erreichbare Sicherheitsgewinn kritisch hinterfragt. Nur die Maßnahmen wurden in die Policy aufgenommen, die dabei als faktisch zielführend erkannt wurden.

Passwortlänge

Gegenüber der alten Regelung wurde die Passwortlänge auf mindestens acht Zeichen erhöht. Dies ist mit Blick auf die Usability sicher zumutbar und wenig im Hinblick auf anderswo anzutreffende Vorgaben.

Auch wenn Vielen, vor allem TechnikerInnen, diese Mindestlänge auf den ersten Blick zu schwach erscheinen mag, ist sie für ihren Anwendungsbereich ausreichend. Das ergibt sich aus der Risikoanalyse: Cracktools, die solche Passwörter in kurzer Zeit knacken können, sind nur für sogenannte Offline-Angriffe einsetzbar - diese sind aber bei Online-Services des ZID nicht möglich.

Zwar sind Online-Angriffe auf Endgeräte (PC, Laptop, Smartphone) durchaus realistisch. Wollte man verhindern, dass durch Manipulation an diesen Endgeräten Passwörter gehackt werden, müsste sichergestellt sein, dass nur zentral administrierte und hochgradig abgesicherte Geräte auf die ZID-Services zugreifen können. Da dies an einer Universität nicht möglich ist, wird klar, dass längere Passwörter die Sicherheit insgesamt nicht wesentlich erhöhen.

Passwort ungleich BenutzerInnenkennung, weitere Merkmale

Aus der Analyse von Angriffssoftware, aus Security-Kanälen und aus der Beobachtung von Angriffen lernen wir laufend die aktuellen Standardtricks der Angreifer. Ganz prominent auf der Liste der versuchten und - erstaunlicherweise - erfolgreichen Methoden ist, wenn die BenutzerInnenkennung als Passwort verwendet wird.

Ein Buchstabe, ein Nichtbuchstabe

Diese Anforderung hat vor allem den Zweck, zu häufig gewählte und von Angreifern häufig probierte "einfache" Passwörter (etwa: 12345678, abcdefgh, qwertzuiop) und sogenannte Dictionary Attacks zu verhindern.

Es wird häufig verlangt, dass das Passwort ein oder gar mehrere Sonderzeichen enthält. Das mathematische Argument, damit würde der Passwortraum gewaltig vergrößert, vermag nicht zu überzeugen: Zu ähnlich sind die tatsächlich gewählten Passwörter denen aus der Anleitung.

Wenn als Beispiel empfohlen wird, etwas in der Art von =dn1bsPw? (nach dem Merksatz "Ist das nicht ein besonders sicheres Passwort?") zu wählen, ist zu erwarten, dass viele Passwörter mit einem "="-Zeichen beginnen und mit einem Frage- oder Rufzeichen enden. Dadurch wird die faktische Passwortlänge auf 6 Zeichen verkürzt und die Sicherheit möglicherweise verringert.

Wenn man dem gegenüberstellt, wie problematisch die Eingabe von Sonderzeichen auf verschiedenen Tastaturen (andere Sprache, Smartphone ...) sein kann, wird klar, dass der Verlust an BenutzerInnenfreundlichkeit durch den ohnehin zweifelhaften Sicherheitsgewinn keineswegs gerechtfertigt wird.

Zu den angeführten Beispielen ...

Das Beispiel m.E.isdaeiguPw wurde aus dem Satz: "Meines Erachtens ist das ein gutes Passwort" abgeleitet und löst auf elegante Weise die Anforderung, Nichtbuchstaben zu verwenden.

Die doch sehr einfachen Regeln der Policy verhindern wirksam viele schlechte Passwörter, etwa Ziffern- und Buchstabenfolgen, wie 12345678 oder qwertzuiop, die sich regelmäßig in den Wortlisten von Hackprogrammen finden.

2.2. Weitergabe von Passwörtern

Persönliche Passwörter sind in keinem Fall weiterzugeben, auch nicht an Dienstvorgesetzte, Vertretungen, etc. Sie sind weiters auch nicht zur Verwendung „im Notfall” für Dritte zu hinterlegen (z. B. im Institutstresor).

Passwörter zu nicht personenbezogenen BenutzerInnenkennungen (z. B. Service-Mail-Adressen) dürfen nur an Berechtigte weitergegeben werden.

InhaberInnen von BenutzerInnenkonten tragen, sofern sie ihr Passwort z. B. in einem Passwortsafe hinterlegen, die Verantwortung dafür, dass ihr Passwort weder Dritten noch, im Fall von nicht personenbezogenen Kennungen, nicht mehr Berechtigten zugänglich werden kann.

Weitergabe
Wie eingangs bemerkt, weisen sich BenutzerInnen durch Eingabe von Kennung und Passwort persönlich aus. Mit der Person sind Zugriffsrechte auf Daten und Services verbunden:

  • E-Mails lesen
  • Dateien am Fileserver bearbeiten
  • Zugriff auf Einstellungen und Protokolle des Telefonsystems

Schon allein der Schutz der Privatsphäre erfordert, dass InhaberInnen einer BenutzerInnenkennung ihr Passwort nicht weitergeben.
In vielen Fällen ist es darüber hinaus notwendig, bestimmte Handlungen einer Person zuordnen zu können (Zurechenbarkeit), z. B.:

  • An-/Abmeldung zu/von Lehrveranstaltungen oder Prüfungen
  • Eintragen von Noten
  • Bestellungen von u:book, Diensthandy, Software ...

Es ist also von entscheidender Bedeutung, dass Passwörter keinesfalls weitergegeben werden.
Für Kennungen, die zur Benutzung durch mehrere Personen bestimmt sind (z. B. Service-Mailadressen), gelten sinngemäß dieselben Regeln.

Aufschreiben oder Speichern des Passworts
Die althergebrachte Regel, dass Passwörter nie aufgeschrieben werden dürfen, ist heutzutage nicht mehr praktikabel. Diese Einsicht wird zunehmend auch von Security-Experten geteilt.

Ob dafür ein Passwort-Safe oder eine möglicherweise verschlüsselte Notiz im Tagebuch verwendet wird: Es liegt in der Verantwortung der BenutzerInnen, dafür zu sorgen, dass niemand diese Aufzeichnung lesen kann.

2.3. Zulässige Verwendung von Passwörtern

ZID-Passwörter müssen stets so gewählt werden, dass sie sich von anderen Passwörtern (z. B. für soziale Netzwerke, Webshops etc.) signifikant unterscheiden.

ZID-Passwörter sind nur in Eingabemasken von Systemen einzugeben, die vom ZID betrieben werden (webbasierte Services wie UNIVISonline, Webmail etc.) oder dem lokalen Zugang (z. B. Anmeldung am Arbeitsplatz-PC) dienen.

Anmerkungen
Der Gedanke, der Einfachheit halber ein Passwort für alle Anwendungen zu benutzen, liegt verständlicherweise nahe. Der ZID trägt dem, soweit es in seinem Einflußbereich steht, auch durch das Single-Sign-On-System Rechnung.

Wird aber ein ZID-Passwort auch bei einem anderen Betreiber verwendet, wird folgendes Szenario möglich:

  1. AngreiferInnen erlangen Zugriff auf die Passwörter dieses anderen Betreibers.
  2. Es gelingt, zum Beispiel durch die hinterlegte Kontakt-E-Mail-Adresse, auf die BenutzerInnenkennung am ZID zu schließen.
  3. Damit verfügen die AngreiferInnen über das ZID-Passwort.
  4. Da im Betriebsbereich des ZID kein Sicherheitsvorfall geschehen ist, können auch keine Gegenmaßnahmen gesetzt werden.

Eine Doppelverwendung von ZID-Passwörtern würde sämtliche proaktiven und reaktiven Sicherheitsmaßnahmen des ZID unterwandern.

2.4. Betreiber

Services, die von anderen Einrichtungen der Universität oder externen Dienstleistern betrieben werden, dürfen ZID-Passwörter nicht abfragen oder verarbeiten. Stattdessen ist das Single-Sign-On-System des ZID zu verwenden (die genauen Bedingungen sind am ZID zu erfragen) oder eine separate Accountverwaltung einzurichten, die auch deutlich als solche erkennbar sein muss.

Anmerkungen
Damit der ZID die Sicherheit der ZID-Passwörter gewährleisten und notfalls geeignete Maßnahmen ergreifen kann, ist eines Voraussetzung: Nur der ZID darf ZID-Passwörter abfragen und verarbeiten (und, naturgemäß, die jeweiligen BenutzerInnen-Endgeräte). Daher können andere Betreiber, dazu zählen auch andere universitäre Einrichtungen, nicht auf die ZID-Passwörter zugreifen (etwa über LDAP).

Für webbasierte Services bietet sich das Single-Sign-On-System als Lösung an: Die Passwort-Abfrage erfolgt durch den ZID über die Weblogin-Seite, die Anwendung erhält danach vom ZID die Zusicherung über den erfolgreichen Login. Für BenutzerInnen und Betreiber hat das mehrere Vorteile:

  • das Passwort für alle teilnehmenden Anwendungen muss nur einmal pro Sitzung (z. B. Tag) eingegeben werden,
  • auch Fremdanwendungen (Institute, u:book etc.) können auf sichere weise teilnehmen, ohne jemals mit dem Passwort in Berührung zu kommen und
  • bei Bedarf können, soweit die rechtlichen und administrativen Erfordernisse gegeben sind, weitere Informationen wie z. B. die E-Mail-Adresse übermittelt werden, ohne dass der/die BenutzerIn sie extra eingeben muss.

2.5. Änderung und Sperren von Passwörtern

Wenn Grund zur Annahme besteht, dass ein ZID-Passwort Dritten bekanntgeworden sein könnte, ist unverzüglich ein neues zu wählen. Bei Gefahr im Verzug ist der ZID berechtigt, BenutzerInnenkonten, Passwörter, IP-Adressen etc. temporär oder dauerhaft zu sperren. Um diese Sperren wieder aufzuheben, ist der Helpdesk des ZID zu kontaktieren.

Die/Der InhaberIn einer BenutzerInnenkennung hat jedenfalls ein neues, nicht zuvor benutztes Passwort zu wählen

  • bei Verlust eines Gerätes, auf dem ZID-Passwörter eingegeben wurden,
  • bei Kompromittierung eines solchen Geräts (z. B. durch einen Virus),
  • bei Weitergabe des Passworts (z. B. Antwort auf Phishing-Angriff) oder
  • nach Ablauf von zwei Jahren seit der letzten Passwortänderung.

BenutzerInnen sind dazu aufgefordert den ZID zu unterstützen, indem sie bei Bedarf an der Aufklärung allfälliger Zwischenfälle mitwirken.

Wenn etwas passiert ist...
Es kommt vor, dass trotz aller Vorsicht eine Phishing-Mail beantwortet oder ein Passwort auf andere Weise "abhanden" kommt. In diesen Fällen ist natürlich sofort ein neues zu setzen.

Bei verlorenen, gestohlenen oder von Malware infizierten Geräten ist immer die Möglichkeit gegeben, dass aus dem Gerät Passwörter ausgelesen oder bei der Eingabe mitprotokolliert ("gesnifft") werden. Daher ist auch in diesen Fällen ein neues Passwort erforderlich.

Alle zwei Jahre neues Passwort
Dass Passwörter regelmäßig geändert werden müssen, ist wahrscheinlich die unbeliebteste Sicherheitsmaßnahme überhaupt. Besonders kritisch: Wie häufig?

Im vergangen Jahrzehnt war ein konstanter Trend zu beobachten, die Wechselperioden laufend zu verkürzen - unter anderem mit der Begründung, dass die Rechenleistung gewachsen sei.
Im Fall der ZID-Services ist diese Begründung nicht anwendbar: Die Zahl der Passwörter, die ein Angreifer pro Zeiteinheit durchprobieren kann, wird nicht durch dessen Hardware, sondern durch die Services selbst sehr strikt begrenzt.

Darüberhinaus zeigt die Erfahrung, dass Passwörter hauptsächlich durch Phishing oder Sniffing gehackt und innerhalb von acht bis 24 Stunden missbraucht werden. Um dem zu begegnen, müsste das Passwort alle acht Stunden gewechselt werden - ein absurder Gedanke!
In Abwägung der Risiken wurden daher zwei Jahre als Zeitraum, nach dessen Ablauf ein neues Passwort zu setzen ist, als hinreichend und notwendig erkannt.

Sperren durch den ZID
Wird innerhalb kurzer Zeit fünf Mal ein falsches Passwort zu einer BenutzerInnenkennung eingegeben, wird diese automatisch gesperrt und nach Ablauf von einer Stunde automatisch wieder entsperrt. Dies ist eine sehr einfache Sicherheitsmaßnahme, die wirksam das Durchprobieren von Passwörtern verhindert.

Es gibt noch andere Situationen, in denen vom ZID bestimmte Kennungen, IP-Adressen händisch oder automatisch für bestimmte oder unbestimmte Zeit gesperrt werden, z. B.

  • bei offensichtlichem Missbrauch (zumeist Versand von Spammail über Webmail),
  • bei massiven Angriffen oder
  • wenn Homepages verunstaltet ("defaced") wurden und sich herausstellt, dass die BenutzerInnenberechtigung von Unbefugten benutzt wurde.

Für BenutzerInnen, die von einer derartigen Sperre betroffen sind oder annehmen, es zu sein, steht der Helpdesk des ZID gerne zur Verfügung.

3. In Kraft treten

Bestehende Services oder Prozesse, die noch nicht dieser Policy entsprechen, sind sobald wie möglich zu aktualisieren. Darüber ist das Einvernehmen mit der Stabsstelle IT Security herzustellen.

Bei Zweifels- oder Auslegungsfällen präzisiert die Stabsstelle IT Security in erster, der CIO in zweiter und letzter Instanz die gegenwärtige Richtlinie.

KontaktFeedback