Passwortsicherheit an der TU Braunschweig

Um unseren Nutzerinnen und Nutzern langfristig eine hohe Passwort-Sicherheit zu gewährleisten, bieten wir Ihnen ab sofort drei neue Methoden, ein sicheres Passwort zu bilden.

Alle drei Methoden erzeugen Passwörter, die den Richtlinien des GITZ entsprechen. Wie ein sicheres Passwort gebildet wird, entnehmen Sie bitte der oder den IT-Sicherheitsinformationen des Gauß-IT-Zentrums https://www.tu-braunschweig.de/it-sicherheit/pwsec .”

Methode 1: Der Passwortgenerator

Legen Sie Art, Anzahl sowie Häufigkeit der gewünschten Zeichen fest, und der Passwortgenerator würfelt immer ein individuelles, einzigartiges Passwort aus.

Hier gelangen Sie zum Passwort-Generator

https://www.tu-braunschweig.de/it-sicherheit/pwsec/pwgen/

Methode 2: Die Satz-Methode

Denken Sie sich einen Satz aus, den Sie mit Ihrer Benutzerkennung verbinden, z.B.:
Das Gauß – IT – Zentrum nutzt zur Authentifizierung eine eindeutige Benutzerkennung .

Das zugehörige Programm ermittelt aus den Anfangsbuchstaben aller Wörter ein aus Buchstaben, Zahlen und Sonderzeichen bestehendes Passwort: D6-1-7_nzAeeß.

Vorteil: Mit Hilfe des Satzes lässt sich Ihr Passwort kinderleicht merken.

Jetzt Satz ausdenken und Passwort generieren lassen
https://www.tu-braunschweig.de/it-sicherheit/pwsec/pwsatz/

Methode 3: Die Passwortkarte

Die Passwortkarte passt bequem in Ihre Hosentasche und ist eine Art persönliche Passwort-Kartographie. Denken Sie sich ein nur Ihnen bekanntes Entschlüsselungswort und lesen Sie die den entsprechenden Buchstabenpositionen zugehörigen Zeichen ganz einfach ab.

Achtung: Fertigen Sie immer ein Backup Ihrer jeweiligen Karte an!

Neue Passwort-Karte erzeugen

https://www.tu-braunschweig.de/it-sicherheit/pwsec/pwcard

Hinweis:
Bitte nutzen Sie für jeden Anbieter (Webseite) stets ein anderes Passwort.

Zusatzprüfung auf “bekannte” (geleakte) Passwörter

Ab dem 03.05.2018 (Weltpassworttag) erweitert das GITZ die Passwortprüfung auf der “Passwort ändern”-Seite.
Zusätzlich zu der bereits bekannten Prüfung auf Einhaltung der Passwort-Regeln (siehe oben) wird ab dem 3.5.2018 auf der “Passwort ändern”-Seite des GITZ ebenfalls geprüft, ob das gewünschte Passwort eventuell bereits in einer Liste von bereits schon einmal gehackten und bekannt gewordenen Passwörtern enthalten ist. Wenn dies der Fall ist, gilt das Passwort als unsicher, da solche Passwortlisten auch von Hackern für neue Angriffe oftmals verwendet werden.

Das GITZ verwendet dafür den Service der Webseite “have I been pwned” (HIBP) https://haveibeenpwned.com/ des unabhängigen Sicherheitsforschers Troy Hunt https://en.wikipedia.org/wiki/Troy_Hunt, bei der es sich um die umfassendste, offen zugängliche Sammlung von unsicheren, “geleakten” Passwörtern handelt. Die Seite wird auch von mehreren Regierungen als Prüfinstanz verwendet (Heise Newsticker https://www.heise.de/newsticker/meldung/Have-I-Been-Pwned-Auch-Regierungen-suchen-nach-Datenlecks-3985804.html, Engadget https://www.engadget.com/2018/03/02/uk-australia-monitoring-domains-have-i-been-pwned/).

Der online verfügbare Service von HIBP verwendet einen ausgeklügelten Mechanismus, der sicherstellt, dass das eingegebene Passwort und auch der daraus erzeugte sog. “Hash”-Wert in keinem Fall vom GITZ an HIBP weiter gegeben wird.

Falls das Passwort bereits in der Liste vorkommt, wird eine Fehlermeldung ausgegeben und das Passwort wird nicht für die Verwendung an der TU Braunschweig akzeptiert. In diesem Fall muss man ein anderes Passwort verwenden.

Nähere Informationen finden Sie auch in unseren Anleitungen des Gauß-IT-Zentrums https://doku.rz.tu-bs.de/doku.php?id=myaccount:passwort_aendern#wie_kann_ich_mein_passwort_aendern.

 

Weitere Information zu Passwörtern finden Sie auf der Seite:

Empfehlungen zum Umgang mit Passwörtern