Passwords Terms of Use (in German)

Eine sichere IT-Infrastruktur erfordert es, dass Nutzer*innen nur die Services und Daten zur Verfügung haben, zu deren Nutzung sie berechtigt sind (Autorisierung). Dreh- und Angelpunkt dabei ist die sichere Verwendung von Nutzer*innenkennungen und Passwörtern. Die Nutzungsbedingungen Passwörter legen daher einen Mindeststandard für Passwörter an der Universität Wien fest.

Anwendungsbereich

Die Nutzungsbedingungen Passwörter beziehen sich auf Nutzer*innenberechtigungen, die vom Zentralen Informatikdienst (ZID) der Universität Wien im Rahmen allgemeiner Services vergeben und verwaltet werden (u:account-UserIDs etc.). Die zugehörigen Passwörter werden im Folgenden als ZID-Passwörter bezeichnet.

Wahl eines sicheren Passworts

Passwörter müssen so gestaltet sein, dass sie ausreichenden Schutz gegen zu erwartende Angriffe bieten. Ein sicheres Passwort im Sinne dieser Nutzungsbedingungen

• ist mindestens acht Zeichen lang,
• ist nicht identisch mit einer bestehenden Nutzer*innenkennung und
• enthält mindestens einen Buchstaben (a–z, A–Z) und ein anderes Zeichen (Ziffer und/oder Sonderzeichen).

Weitere Merkmale können bei Bedarf vom ZID im Hinblick auf aktuelle Bedrohungsszenarien festgelegt und bekanntgemacht werden. Konforme Passwörter sind beispielsweise m.E.isdaeiguPw, Hier-werd-ich-gscheit!, Dw1B&k1., nicht konforme und unsichere Passwörter sind Zeichenfolgen wie 12345678 oder qwertzuiop.

Weitergabe von Passwörtern

Persönliche Passwörter sind in keinem Fall weiterzugeben, auch nicht an Dienstvorgesetzte, Vertretungen etc. Sie sind weiters auch nicht zur Verwendung „im Notfall“ für Dritte zu hinterlegen (etwa im Institutstresor). Passwörter zu nicht personenbezogenen Nutzer*innenkennungen (etwa Service-Mail-Adressen) dürfen nur an Berechtigte weitergegeben werden. Inhaber*innen von Nutzer*innenkonten tragen, sofern sie ihr Passwort etwa in einem Passwortsafe hinterlegen, die Verantwortung dafür, dass ihr Passwort weder Dritten noch, im Fall von nicht personenbezogenen Kennungen, nicht (mehr) Berechtigten zugänglich werden kann.

Zulässige Verwendung von Passwörtern

ZID-Passwörter müssen stets so gewählt werden, dass sie sich von anderen Passwörtern (etwa für soziale Netzwerke, Webshops etc.) signifikant unterscheiden. ZID-Passwörter sind nur in Eingabemasken von Systemen einzugeben, die vom ZID betrieben werden (webbasierte Services wie UNIVISonline, Webmail etc.) oder dem lokalen Zugang (etwa Anmeldung am Arbeitsplatz-PC) dienen.

Betreiber

Services, die von anderen Einrichtungen der Universität oder externen Dienstleistern betrieben werden, dürfen ZID-Passwörter nicht abfragen oder verarbeiten. Stattdessen ist das Single-Sign-On-System des ZID zu verwenden (die genauen Bedingungen sind am ZID zu erfragen) oder eine separate Accountverwaltung einzurichten, die auch deutlich als solche erkennbar sein muss.

Änderung und Sperren von Passwörtern

Wenn Grund zur Annahme besteht, dass ein ZID-Passwort Dritten bekanntgeworden sein könnte, ist unverzüglich ein neues zu wählen. Bei Gefahr im Verzug ist der ZID berechtigt, Nutzer*innenkonten, Passwörter, IP-Adressen etc. temporär oder dauerhaft zu sperren. Um diese Sperren wieder aufzuheben, ist der ZID-Helpdesk zu kontaktieren.

Der*die Inhaber*in einer Nutzer*innenkennung hat jedenfalls ein neues, nicht zuvor benutztes Passwort zu wählen

• bei Verlust eines Gerätes, auf dem ZID-Passwörter eingegeben wurden, 
• bei Kompromittierung eines solchen Geräts (etwa durch einen Virus),
• bei Weitergabe des Passworts (etwa Antwort auf Phishing-Angriff) oder
• nach Ablauf von 2 Jahren seit der letzten Passwortänderung.

Im Fall von nicht personenbezogenen Kennungen ist auch ein neues Passwort zu wählen, sobald ein*e Berechtigte*r die Berechtigung verliert. Nutzer*innen sind dazu aufgefordert den ZID zu unterstützen, indem sie bei Bedarf an der Aufklärung allfälliger Zwischenfälle mitwirken.

Inkrafttreten

Bestehende Services oder Prozesse, die noch nicht diesen Nutzungsbedingungen entsprechen, sind sobald wie möglich zu aktualisieren. Darüber ist das Einvernehmen mit der Stabsstelle IT Security herzustellen. Bei Zweifels- oder Auslegungsfällen präzisiert die Stabsstelle IT Security in erster, der CIO in zweiter und letzter Instanz die gegenwärtigen Nutzungsbedingungen.