Erstellung von sicheren Passwörtern
Passwort-Sicherheit
Passwörter sind der Schlüssel zu Ihren Arbeiten, E-Mails und Ressourcen an der Universität Hildesheim. Umso wichtiger ist es, Passwörter sicher zu verwahren und sichere Passwörter zu überlegen.
Es sollten insbesondere die folgenden Prinzipien beachtet werden:
- Für jeden Dienst – ein eigenes Passwort verwenden
- Ein Passwort muss lang und komplex sein, kann man es sich merken, ist es i.d.R. nicht sicher
- Passwörter müssen sicher aufbewahrt werden
Wir empfehlen daher die Verwendung eines Passwort Managers zur Verwaltung aller Passwörter.
Wir empfehlen die Verwendung von „have I been pwned“ (HIBP) zur Prüfung Ihres Passwortes.
Bitte die folgenden Anforderungen an ein sicheres Passwort umsetzen:
- Passwörter müssen mindestens 12 Zeichen lang sein.
- Passwörter müssen als Minimum
- 1x Zeichen enthalten aus Großbuchstaben A-Z und
- 1x Zeichen enthalten aus Kleinbuchstaben a-z und
- 1x Zeichen enthalten aus Zahl 0-9 und
- 1x Zeichen enthalten aus Sonderzeichen wie - ) + ; ! # ? :
- Sonderzeichen und Zahl nicht einfach an den Anfang oder Ende anhängen
- Passwörter dürfen nicht identisch zum alten Passwort sein (z.B. nicht Zahl oder Buchstaben hochzählen oder ähnliches)
- Passwörter dürfen keine Namen (z.B. eigener Name, Städtenamen, Uni Hildesheim, KFZ-Kennzeichen, einzelne Wörter aus Wörterbuch etc.) enthalten
Achtung: einige Zeichen dürfen aus technischen Gründen nicht verwendet werden (u.a. Tastaturlayout beachten bzw. einige Sonderzeichen gibt es in anderen Sprachen nicht):
- §
- EURO Zeichen €
- Apostroph-Zeichen
- Umlaute ä, ö, ü
- ß
- Beachten bei Tastaturlayout von anderen Sprachen geänderte Zeichen (z.B. EN/DE Tastaturlayout – yY bzw. zZ ist an anderen Stellen)
Methode 1: Der Passwortgenerator
Passwort Manager wie KeePass bringen oft einen Passwortgenerator mit sich. Achten Sie hier bitte auf die Mindestanforderungen der UHI an Passwörter
Methode 2: die Satz-Methode
Denken Sie sich einen Satz aus, den Sie mit Ihrer Benutzerkennung verbinden, oder nehmen Sie sich ein Satz aus einem Buch, ggf. hier Buchstaben durch Zahlen und Sonderzeichen ersetzen.
Zum Beispiel der Satz: Für eine Lehrveranstaltung, im Wintersemester 2024/25, benötige ich ein Passwort
Ergibt das Passwort: FeL,iW24/25,bieP
Vor Verwendung bitte Passwörter auf deren Sicherheit prüfen!
Dazu das Passwort bitte auf folgender Seite „have I been pwned“ (HIBP) eingeben.
Ist das gewünschte Passwort in der Datenbank: dieses auf keinen Fall verwenden!
In dem Fall wurde das Passwort bereits kompromittiert und ist in einschlägigen Datenbanken bekannt. Konten mit diesen Passwörtern benötigen nur Sekunden bis Minuten, bis diese gehackt sind.
Information zur Webseite:
Der Unabhängige Sicherheitsforscher Troy Hunt, stellt eine offen zugängige Sammlung von unsicheren, bereits „geleakten“ Passwörtern zur Verfügung. Die Seite wird auch von mehreren Regierungen als Prüfinstanz verwendet (siehe Heise Newsticker bzw. BSI Artikel ). Das zu prüfende Passwort wird nicht auf den Webseiten gespeichert.
Ein Passwort-Manager bietet die Möglichkeit Passwörter in einem verschlüsselten Speicher zu sammeln. Dieser Speicher wird durch ein komplexes Hauptpasswort (Masterpasswort) geschützt. Daher ist es nur notwendig ein Passwort zu merken, um Zugriff auf alle anderen gespeicherten Passwörter zu haben. Es ist auch möglich, einen „Masterkey“ (USB-Stick oder ähnliches) anstatt eines Master-Passwortes zu verwenden.
Die Passwörter zu den unterschiedlichen Diensten kopieren Sie dann einfach aus dem Passwort-Manager heraus zur Anmeldung. Es gibt Browser-PlugIns, so dass bei Anmeldung an bestimmten Webseiten/Diensten, das Passwort automatisch eingefügt werden kann.
ACHTUNG: bitte verwenden Sie nicht den Passwort Safe Ihres Browser wie Firefox, Chrome, Edge etc. verwenden. In der Vergangenheit hat sich gezeigt, dass diese Passwort-Safes sehr unsicher sind. Sollten Sie bereits Passwörter in Firefox & Co. gespeichert haben, löschen Sie diese bitte schnellstmöglich und sichern Sie diese in einem eigenständigen Passwort-Manager.
Zu jedem Passwort können Sie weitere Informationen hinterlegen. Zum Beispiel den dazugehörigen Benutzernamen, den Weblink zu dem Dienst, weitere Anmeldeinformationen wie IP Adresse etc.
Wie bereits erwähnt, kommen viele Passwort-Manager ebenfalls mit einem Passwort-Generator zur Erstellung sicherer Passwörter.
ACHTUNG: bitte Passwort-Manager nur aus vertraulichen Quellen herunterladen! Auch Hackern ist bekannt, wie beliebt diese Tools sind. Passwort-Manager aus nicht vertraulichen Quellen sind oft mit schadhaftem Code infiziert.
Vertrauliche Quellen sind:
- für Mitarbeitende der UHI: Matrix24-Kiosk (Windows), Self Service (MacOS) (bitte wenden Sie sich sonst an Ihren RZ-Support bei Fragen)
- Der jeweiligen Hersteller Webseite
Empfehlung: KeePass (2.x)
Für Mitarbeitende der UHI: bitte laden Sie sich KeePass aus dem Matrix24-Kiosk (Windows) oder dem Self-Service (MacOS) herunter.
Alternative kann KeePass 2.x von der Hersteller-Webseite KeePass geladen werden.
Weiterführende Tutorials und Hinweise zu Passwortsicherheit, Passwortmanager: