Was soll das ganze?

Warum muss ich das Passwort für meinen HU-Account jedes Jahr ändern und auch noch Regeln befolgen, die niemand versteht? Sie ahnen es sicher schon, diese Frage haben nicht nur Sie sich gestellt.

Da Sie diese Seite aufgerufen haben, sind Sie sicher schon sehr frustriert, weil Sie kein neues Passwort gefunden haben, das unseren Regeln entspricht und auch Ihnen gefällt. Vermutlich haben Sie gerade jetzt keine Lust zu lesen, was wir dazu schreiben - das wäre schade.

Wir möchten Ihnen dennoch gerne erklären, warum, was von uns verlangt wird und worum es uns geht. Der eine oder andere Hinweis wird sicher dazu führen, dass Sie Ihren Umgang mit Passwörtern ganz allgemein überdenken werden.

Wir wollen Ihnen keineswegs die Verpflichtung abnehmen, verantwortungsbewusst mit Ihrem HU-Account umzugehen. Wir können davon ausgehen, dass Sie als Angehörige(r) der HU dazu in der Lage sind. Und selbstverständlich werden wir uns auch sofort an Sie wenden, wenn Ihr HU-Account missbraucht wurde. (An dieser Stelle würde der eine oder andere schon froh sein, dass wir nicht den Vorwurf erheben können, das benutzte Passwort war zu einfach und so wurde ein Missbrauch erst möglich. Dazu später mehr.)

Mein HU-Account ist doch kein Bankkonto, also was soll ...

Sicher, was schadet es Ihnen, wenn jemand mit Hilfe Ihres HU-Accounts E-Mails verschickt? Vielleicht ist es Ihnen sogar egal, wenn ein Fremder Ihre E-Mails lesen kann, Sie haben ja nichts zu verbergen.
Problematisch wird das ganze jedoch, wenn so viele E-Mails mit Ihrem HU-Account versendet werden, dass die Humboldt-Uni anderen Mailprovidern als Spam-Schleuder auffällt und diese unsere Mailserver vom E-Mailaustausch ausschließen. Stehen unsere Mailserver erst einmal in einer schwarzen Liste, können auch alle anderen Nutzer, also nicht nur Sie, keine E-Mails mehr versenden und auch keine neuen empfangen (diesen Fall hatten wir schon, zum Glück bisher nur einmal. Unser Postmaster ist da nicht gut drauf zu sprechen). Der Imageschaden für eine Universität, der so etwas passiert, ist leicht vorstellbar.

Klar ist es leicht, E-Mail-Adressen zu fälschen und als Absender zu benutzen. Dazu muss kein Account geknackt werden. Doch auf gefälschte Absenderadressen kann nicht geantwortet werden, auf eine geknackte HU-E-Mail-Adresse schon. Und wer mit einem Absender ...hu-berlin.de E-Mails versenden und empfangen kann, weckt damit beim Empfänger ein hohes Vertrauen und wirkt glaubwürdig (Identitätsdiebstahl). Er könnte sich zum Beispiel vergünstigte Software beschaffen und diese dann auch noch im Internet verteilen. Sollte Ihnen dies mit Ihrem HU-Account passieren, können Sie schnell in arge Erklärungsnöte geraten.

Ein anderes Beispiel. Die hohe Bandbreite der Internetanbindung einer Universität ist für Angreifer immer ein lohnendes Ziel. So lassen sich schnell riesige Datenmengen umschaufeln. Mit einem gekaperten HU-Account ist dann schon der erste Schritt getan, ein kleiner Spalt der Tür zu unseren Servern ist geöffnet. Und da auch wir nicht vor Sicherheitslücken gefeit sind, hat ein Server schnell mal den Besitzer gewechselt (auch das hatten wir schon, der HU-Account-Nutzer konnte uns anschließend nicht schnell helfen, unser Admin schon, aber auch nicht schnell).

Was soll ich mit einem Passwort, das ich mir nicht merken kann?

Hier muss sicher unterschieden werden zwischen tatsächlich zu einfachen Passwörtern - eine Auswertung hat ergeben, dass das meistgenutzte Passwort bei einem Provider, der keine Regeln zum Passwort festgelegt hat, password war - , und Passwörtern die stark sind, jedoch nicht unseren Regeln entsprechen (das kommt häufig dann vor, wenn ein Lieblingspasswort benutzt werden soll).

Passwort ist zu einfach

Dazu muss nicht viel gesagt werden. Alle Passwörter auszuprobieren (brute force attack) ist bei den von uns betriebenen Systemen nicht möglich. Also versuchen es Angreifer auf gut Glück, Passwörter zu erraten. Das Dilemma ist nun, ein Passwort zu erfinden, dass sich leicht merken läßt und schwer zu erraten ist. Dass keine Wörter im Passwort stehen dürfen, macht es noch schwieriger. Sie sollen sich etwas merken, was man sich nicht leicht merken kann. Hier eine Möglichkeit, Buchstaben zu benutzen und Wörter zu vermeiden. Verwenden Sie nur die Anfangsbuchstaben eines leicht zu merkenden Satzes.

Beispiel:

aus
Am Brunnen vor dem Tore,
Da steht ein Lindenbaum:

wird
ABvdT,DseL:
Fehlt noch eine Ziffer. B und 8 sehen sich ähnlich und aus ein machen wir 1 (Ziffer Eins), also kann das Passwort so lauten: A8vdT,Ds1L: (bitte nicht dieses Passwort benutzen! Auch Beispielpasswörter werden gerne verwendet).

Noch besser wäre es, wenn Sie keine Sätze verwenden, die andere auch kennen. Unser Beispiel ist, wie alle Beispiele für Passwörter, ein schlechtes Beispiel. Unser Beispielsatz ist demnach auch eine schlechte Vorlage für ein gutes Passwort. Beispielpasswörter kann man leicht googlen (siehe Webcrawler).

Lieblingspasswort

Ein Lieblingspasswort kann es nicht geben. Sollten Sie der Meinung sein, nur ein Passwort für alle Ihre Accounts benutzen zu müssen, haben Sie selbst Tür und Tor für den Missbrauch geöffnet. Woher wissen Sie, wie Provider mit Ihrem Lieblingspasswort umgehen? Mir persönlich sind etliche Provider bekannt, die mir bei Bedarf mein Passwort im Klartext per E-Mail zuschicken, der Provider hat offensichtlich die Möglichkeit, an die Klartextpasswörter zu gelangen. Angenommen, eine Sicherheitslücke ermöglicht einem Hacker den Zugang zu allen Kunden-Passwörtern eines solchen Providers? Ihr Provider wird sich nicht für Ihre anderen (geknackten) Zugänge verantwortlich fühlen. Oder, angenommen, der Provider selbst ist nicht vertrauenswürdig? Die Schlußfolgerung kann nur lauten:
Finger weg von gleichen Passwörtern bei verschiedenen Providern!
(auch vom Bilden von Varianten eines Stammpasswortes für verschiedene Provider raten wir ab, auch das kann von einem pfiffigen Hacker erkannt werden)

Wir speichern nur einen Hashwert Ihres Passwortes in einer Datei, auf die kein Nutzer zugreifen kann. Der Hashwert ist eine Art Fingerabdruck des Passwortes. Er wird mit einer Einwegrechenoperation ermittelt, d.h. es gibt dafür keine Umkehroperation. Genaugenommen ist es nur äußerst schwierig, die Operation umzukehren. Daher können wir Ihnen auch nicht Ihr Passwort mitteilen, wir kennen es nicht. Und sollte uns die Datei mit den Hashwerten doch abhanden kommen, haben alle Nutzer kryptografisch starke Passwörter, die nicht in kürzester Zeit geknackt werden können.

Selbst die PIN meiner EC-Karte besteht nur aus 4 Ziffern

Das stimmt, nur ohne Karte ist selbst eine bekannte PIN nutzlos. Und ein Finder der Karte hat nur drei Versuche (mit einem Trick fünf) und dann bleibt die Karte im Automaten. Sie gehen zur Bank und bekommen eine neue. Sie werden jedoch bestimmt nicht nach drei fehlerhaften Passworteingaben persönlich zu uns kommen wollen. Oder stellen Sie sich vor, ein Fremder gibt drei Mal ein falsches Passwort für Ihren Account ein.

Da dieser Vergleich oft herangezogen wird. Wer hat schon mal bei seiner Bank vorsprechen müssen, weil mit seiner EC-Karte und seiner PIN Geld abgehoben wurde? Da werden sich nicht viele melden können. Doch die, denen das passierte, finden es sicher nicht spaßig, wenn sie beweisen sollen, dass die PIN nur in ihrem Kopf stand.
Angenommen, Ihre Bank glaubt Ihnen, wird sie Ihr Konto ausgleichen - die Zeche zahlen dann alle Kunden Ihrer Bank. Einen Imageschaden oder einen Verlust an Glaubwürdigkeit lassen sich nicht einfach mit Geld begleichen.

Bei anderen Providern muss das Passwort nie geändert werden

Das stimmt, wenn die Betonung auf muss liegt. Doch wer sich die Mühe macht, und die Nutzungsbedingungen studiert, wird erfahren, dass alle einen regelmäßigen Passwortwechsel empfehlen. Und was passiert bei einem Missbrauch? Der Provider wird sehr wohl darauf verweisen, dass er ja eine regelmäßige Änderung des Passwortes empfiehlt. Wer dies nicht beachtet muss auch für den Schaden geradestehen. Etwas anders ist die Rechtslage, wenn der Provider zusätzliche Maßnahmen nutzt, damit ein Passwortmissbrauch keinen Schaden anrichten kann. Ein beliebtes Mittel ist bspw. die Benutzung von TANs.

Ein paar Tipps rund ums Passwort