Font1 Font2 Font3 Style1 Style2 Style3
28. Februar 2013
Kategorien: 1/2013, it-security, staff, student

IT-Security: Neue Passwort-Policy für zentrale Services des ZID


IT-Security: Neue Passwort-Policy

Der ZID stellt Angehörigen der Universität Wien eine Reihe an IT-Services zur Verfügung, deren Verwendung an BenutzerInnenkennung und Passwort – einen Account (Mailbox, u:net) – gebunden ist. Damit wird sichergestellt, dass BenutzerInnen nur die Services und Daten zur Verfügung haben, zu deren Nutzung sie berechtigt sind (Autorisierung). Persönliche oder wissenschaftliche Daten, Studienleistungen, An-/Abmeldungen und Administration von Lehrveranstaltungen, Erwerb von Hard- und Software sowie vieles mehr werden durch ein Passwort geschützt. Eine sichere IT-Infrastruktur zum Schutz vor nicht autorisierten Zugriffen auf Daten erfordert die sorgfältige Verwendung von sicheren Passwörtern. Die Passwort-Policy des ZID legt einen Mindeststandard für Passwörter im Rahmen allgemeiner IT-Services an der Universität Wien fest.

Sind Passwörter noch zeitgemäß?
Es gibt viele Sicherheitskonzepte: Chipkarten, Fingerabdrucksensoren, SMS-TAN, Token – für den Gebrauch im universitären Kontext sind sie jedoch ungeeignet. Einerseits, weil sie spezielle Hardware voraussetzen, die den meisten BenutzerInnen nicht zur Verfügung steht. Andererseits, weil ein Umstieg auf diese Systeme nicht finanzierbar ist. Einige Konzepte weisen zudem Sicherheitsrisiken auf.

Für die Verwendung von Passwörtern spricht, dass sie leicht und überall zu benutzen sind und sie bieten – richtig angewandt – einen guten Schutz. Damit die Risiken auf einem akzeptablen Niveau bleiben, ist es jedoch wichtig, eine Passwort-Policy zu etablieren. Der ZID selbst setzt zunächst technische Maßnahmen (Monitoring ggf. Sperren von Adressen oder Accounts), um Angriffe auf Daten und Systeme abzuwehren. Um dies wirkungsvoll umzusetzten, und im Problemfall rechtzeitig und adäquat reagieren zu können, ist jede/r BenutzerIn bei der Wahl und der Verwendung eines Passwortes mitverantwortlich und trägt somit zur Sicherheit der gesamten IT-Infrastruktur an der Universität Wien bei.

Was bedeutet „sicheres Passwort”?
Muss ich jetzt ständig mein Passwort ändern? Oder bei jedem Login einen fingerbrecherischen Tippmarathon mit vielen Sonderzeichen absolvieren? Nein, das müssen Sie nicht. Passwörter müssen nur so gestaltet sein, dass sie ausreichend Schutz gegen zu erwartende Angriffe bieten.  Im Rahmen der Passwort-Policy für ZID-Passwörter gilt:

  • Wählen Sie für die zentralen Services des ZID ein Passwort, das Sie nirgendwo sonst verwenden (Facebook, Webforen, auch institutseigene Services).
  • ZID-Passwörter dürfen nur in Eingabemasken eingegeben werden, die vom ZID betreut werden (UNIVIS, Webmail etc.) oder dem lokalen Zugang dienen (z. B. Anmeldung am Arbeitsplatz-PC). Für webbasierte Anwendungen steht das Single Sign-On-System (Web­login) des ZID zur Verfügung.

  • Wählen Sie ein neues Passwort (Opens external link in new windowzid.univie.ac.at/passwort/), wenn Grund zur Annahme besteht, dass Ihr Gerät von Malware befallen, gestohlen oder verloren wurde, oder anzunehmen ist, dass Ihr Passwort in falsche Hände geraten ist.
  • Passwörter sind individuell vereinbart und dürfen nicht weitergegeben werden, auch nicht an Vorgesetzte oder EDV-Beauftragte (dies bezieht sich nicht auf administrative Accounts wie Service-E-Mail-Adressen; diese werden eigens geregelt).


Um die Form der Passwörter auf ein zeitgemäßes Niveau zu bringen, müssen neugewählte Passwörter

  • mindestens acht Zeichen lang sein,
  • mindestens einen Buchstaben und mindestens eine Ziffer oder ein Sonderzeichen enthalten, und
  • mindestens alle zwei Jahre durch ein neues Passwort ersetzt werden.

Darüber hinaus werden einige Passwörter nicht akzeptiert, wenn sie zum Beispiel bekanntermaßen bei Hackversuchen häufig probiert werden.

Fazit
Wir haben genau analysiert, welche Vorgaben für die zentralen Services des ZID notwendig sind. Mehr dazu erfahren Sie auf der Webseite Opens external link in new windowzid.univie.ac.at/it-security/, wo Sie neben der Passwort-Policy des ZID auch die Überlegungen, die dazu geführt haben, sowie weitere Hintergrundinformationen abrufen können. [at]


uni-it-Logo
Student