Vom vernünftigen Umgang mit Passworten
Ein Appell

von Herbert Stappler (Ausgabe 97/1, Jänner 1997)

 

"Unter meiner User-ID sind ohnehin keine vertraulichen Daten gespeichert, daher ist das Paßwort nicht von besonderer Bedeutung." Solche und ähnliche Aussagen sind immer wieder zu hören. Die meisten Benutzer mit dieser Einstellung übersehen aber, daß sie - selbst wenn für sie eine User-ID nicht besonders wichtig erscheint - zu einem sorgfältigen Umgang bezüglich Auswahl und Geheimhaltung des Paßwortes verpflichtet sind. Bei den meisten bösartigen Hack-Versuchen besteht die erste Handlung darin, in eine User-ID eines sorglosen Benutzers einzudringen. Mit dessen Identität können dann problemlos weitere Missetaten begangen werden. Der auf diese Weise in Mißkredit gebrachte Benutzer muß dann erst mühsam unter Beweis stellen, daß er nicht der Täter, sondern vielmehr das Opfer ist.

Das EDV-Zentrum hat bisher auf allzu unkomfortable Auflagen bei der Auswahl von Paßworten verzichtet. Wir glauben nach wie vor, daß wir zu einem befriedigenden Maß an Sicherheit kommen können, ohne daß alle Benutzer gezwungen werden, Paßwort-Ungetüme mit mindestens drei Sonderzeichen und zwei Ziffern zu verwenden, die sie dann noch alle sechs Wochen ändern müssen. Dennoch ersuchen wir im Interesse aller, die Paßworte geeignet auszuwählen (siehe Kasten) und entsprechend geheimzuhalten.

Die richtige Handhabung von Paßworten

 

Bei der Wahl Ihres Paßwortes sollten Sie die folgenden Richtlinien beachten:

  • Ihr Paßwort sollte nicht zu kurz sein. Auf den Systemen des EDV-Zentrums muß es in der Regel mindestens fünf Zeichen umfassen. An den meisten Rechnern ist die Länge des Paßworts auf maximal acht Zeichen beschränkt.
  • Das Paßwort kann aus Buchstaben, aus Ziffern und aus ASCII-Sonderzeichen (wie etwa Satzzeichen) aufgebaut sein. Die Verwendung von nationalen Sonderzeichen (z.B. deutschen Umlauten sowie ß) kann jedoch zu Problemen führen und sollte daher vermieden werden.
  • Die Groß-/Kleinschreibung bei Buchstaben wird nur von Unix-Systemen berücksichtigt. PC-Arbeitsplätze (Novell) und die VM-Rechenanlage unterscheiden nicht zwischen Groß- und Kleinbuchstaben.
  • Wählen Sie kein Paßwort, das leicht zu erraten oder aus Ihren persönlichen Daten ableitbar ist.
  • Ein Paßwort sollte kein Wort im eigentlichen Sinne sein: Wie schon erwähnt, können neben Groß-/Kleinbuchstaben auch Ziffern und ASCII-Sonderzeichen verwendet werden. Darüber hinaus sind Wörter der deutschen Sprache (oder auch einer Fremdsprache) als Paßwörter schlecht geeignet, da es Personen gibt, die mittels spezieller Computerprogramme, die auf elektronischen Wörterbüchern basieren, Jagd auf Paßwörter machen.

Drei verbreitete Methoden, ein sicheres und leicht zu merkendes Paßwort zu erhalten:

  1. Reihen Sie die Anfangsbuchstaben der Wörter eines Satzes aneinander. Das resultierende Paßwort ergibt im allgemeinen keinen Sinn und man braucht sich nur den Satz zu merken. So entsteht aus dem Satz "Mir fällt leider kein gutes Paßwort ein" das Paßwort MflkgPe.
  2. Sie können auch Silben wahllos aneinander reihen. Dies ergibt in der Regel ein Paßwort, das man zwar aussprechen kann (erleichtert das Merken), das aber trotzdem kein Wort im eigentlichen Sinn ist.
  3. Sie nehmen ein beliebiges Wort und fügen Ziffern und/oder ASCII-Sonderzeichen zwischen den Buchstaben ein.

Auch im Umgang mit dem Paßwort sind einige Punkte zu berücksichtigen:

  • Nach dem erstmaligen Wählen des Paßwortes empfiehlt es sich, das Paßwort in regelmäßigen Abständen zu ändern.
  • Geben Sie Ihr Paßwort an niemanden weiter, schreiben Sie es nicht auf, merken Sie es sich.
  • Sollten Sie Ihr Paßwort vergessen haben, können Sie per Brief (z.Hd. Service- und Beratungszentrum) oder Fax (4277-9140) ein neues einrichten lassen: Bitte geben Sie Ihre User-ID und das gewünschte neue Paßwort an. Zum Identifikationsnachweis müssen Studierende eine Kopie des Studienausweises beilegen. Für Angestellte der Universität Wien ist die Verwendung von Institutsbriefpapier mit Unterzeichnung (Unterschrift und Institutsstempel) ausreichend. Falls erforderlich, ist eine persönliche Vorsprache unter Vorlage eines amtlichen Lichtbildausweises im Service- und Beratungszentrum des EDV-Zentrums (NIG, Stiege II, 1. Stock, links) möglich.