Zum Schutz der IT-Infrastruktur ist es erforderlich, dass den Nutzer*innen nur jene Services und Daten zur Verfügung stehen, zu deren Nutzung sie auch tatsächlich berechtigt sind (Autorisierung). Entscheidend ist dabei die sichere Verwendung der Zugangsdaten (UserID und Passwort).

Die vorliegenden Nutzungsbedingungen definieren einen Mindeststandard. Darüber hinausgehende Regelungen sind zulässig. 

Anwendungsbereich

Die vorliegenden Nutzungsbedingungen beziehen sich auf Zugangsdaten, die vom Zentralen Informatikdienst (ZID) der Universität Wien im Rahmen der vom ZID betriebenen IT-Services vergeben oder verwaltet werden (etwa u:account-UserID). Die Passwörter werden im Folgenden als ZID-Passwörter bezeichnet.

Sicheres Passwort wählen

Ein ZID-Passwort muss so beschaffen sein, dass es ausreichenden Schutz gegen zu erwartende Angriffe bietet. Ein sicheres ZID-Passwort in diesem Sinne 

• ist mindestens 10 Zeichen lang, 
• enthält mindestens 1 Buchstaben (a–z, A–Z) und 1 anderes Zeichen (Ziffer und/oder Sonderzeichen),
• ist nicht identisch mit einer UserID, 
• unterscheidet sich signifikant von anderen Passwörtern (etwa für soziale Netzwerke, Webshops),
• wird nicht mehrfach verwendet, 
• ist nicht leicht zu erraten und
• wird nicht in gängigen Passwortlisten geführt.

Diese Merkmale sind für alle ZID-Passwörter verpflichtend, werden aber nicht in allen Systemen technisch erzwungen. Weitere Merkmale können bei Bedarf (etwa bei aktuellen Bedrohungsszenarien) vom ZID festgelegt und bekanntgemacht werden.

Sichere ZID-Passwörter sind beispielsweise m.E.isdaeiguPw oder Dw1B&Ak4x. (Beispielpasswörter nicht verwenden.) Nicht konforme und unsichere ZID-Passwörter sind beispielsweise Zeichenfolgen wie 1234567890 oder qwertzuiop. 

Ausgenommen von den oben genannten Anforderungen sind die vom ZID verwalteten u:phone-Profile. Für diese sind PINs mit einer Mindestlänge von 6 Zeichen ausreichend.

Passwort nicht weitergeben

Persönliche ZID-Passwörter sind geheim zu halten, auch gegenüber Dienstvorgesetzten, Vertretungen etc. Sie sind auch nicht zur Verwendung im Notfall für Dritte zu hinterlegen (etwa im Institutstresor).

ZID-Passwörter zu nicht personenbezogenen Accounts (etwa für Service-E-Mail-Adressen) dürfen nur an Berechtigte weitergegeben werden.

Ein Passwort-Manager darf verwendet werden, wenn er  

• auf dem aktuellen Stand der Technik und
• kryptografisch sicher
• Passwörter vor Dritten, einschließlich dem Betreiber, schützt.  

Passwort ändern oder sperren

Wenn Grund zur Annahme besteht, dass ein ZID-Passwort Dritten bekanntgeworden sein könnte, ist unverzüglich ein neues Passwort zu wählen. 

Der*Die Inhaber*in hat jedenfalls ein neues, nicht zuvor benutztes ZID-Passwort zu wählen:

• bei Verlust eines Gerätes, auf dem ein ZID-Passwort eingegeben wurde,
• bei Kompromittierung eines solchen Geräts (etwa durch einen Virus),
• bei Weitergabe des ZID-Passworts (etwa Antwort auf Phishing-Angriff) oder
• nach Ablauf von 2 Jahren seit der letzten Passwortänderung.

Für einen nicht personenbezogenen Account ist zudem immer ein neues ZID-Passwort zu wählen, wenn eine*r der Berechtigten die Berechtigung verliert.

Kommunikation zwischen Nutzer*in und ZID

Der ZID fragt Nutzer*innen niemals nach ihrem Passwort. 

Nutzer*innen sollen dem ZID niemals von sich aus das ZID-Passwort mitteilen. 

Bei Gefahr im Verzug ist der ZID berechtigt, UserIDs, Passwörter, IP-Adressen etc. temporär oder dauerhaft zu sperren. Um diese Sperren wieder aufzuheben, ist der ZID-Helpdesk zu kontaktieren.

Nutzer*innen sind aufgefordert, den ZID zu unterstützen, indem sie bei Bedarf an der Aufklärung allfälliger Security-Zwischenfälle mitwirken.

Multi-Faktor-Authentifizierung verwenden

Wenn für ein Service Multi-Faktor-Authentifizierung zur Verfügung steht, empfiehlt der ZID, diese zu verwenden. Bei einigen IT-Services ist es erforderlich, die Multi-Faktor-Authentifizierung zu aktivieren, um sie nutzen zu können. 

Zulässige Services

ZID-Passwörter sind nur in Anmeldeformularen von Systemen einzugeben, die vom ZID betrieben werden (etwa webbasierte Services wie u:space, Webmail) oder dem lokalen Zugang (etwa Anmeldung am Arbeitsplatz-PC) dienen.

Services, die von anderen Organisationseinheiten der Universität Wien oder von externen Dienstleistern betrieben werden, dürfen keine ZID-Passwörter abfragen oder verarbeiten. Stattdessen ist das Web Single Sign-on des ZID zu verwenden. Die genauen Bedingungen dafür sind am ZID zu erfragen. Alternativ ist eine separate Accountverwaltung einzurichten, die deutlich als solche erkennbar sein muss.

Inkrafttreten

Bestehende Services oder Prozesse, die noch nicht diesen Vorgaben entsprechen, sind so bald wie möglich zu aktualisieren. 

Bei Zweifels- oder Auslegungsfällen präzisiert die Stabsstelle IT Security in erster, der CIO in zweiter und letzter Instanz die gegenwärtige Richtlinie.