Erweiterte Passwortprüfung bei der Passwortänderung über die „Passwort-Ändern-Seite“ der TU Braunschweig
Der Welt-Passwort-Tag findet jedes Jahr jeweils am ersten Donnerstag im Mai statt.
Ins Leben gerufen wurde der Welt-Passwort-Tag im Jahr 2013 von dem US-amerikanischen Halbleiterhersteller Intel Corporation, um aufzuzeigen, wie wichtig der richtige Umgang mit Passwörtern ist. Der Welt-Passwort-Tag soll alle dazu aufrufen, sicherere Passwörter zu benutzen, um so seine Online-Accounts besser zu schützen.
Seit dem 03. Mai 2018, dem diesjährigen „Welt-Passwort-Tag“, findet bei der Änderung der Passwörter auf der „Passwort-Ändern-Seite“ der TU Braunschweig eine erweiterte Sicherheitsprüfung der gewählten Passwörter statt. Auch auf der Seite für das System zur Neusetzung des Passwortes per Mobilfunknummer (pwm) wird in Kürze eine solche Prüfung stattfinden. (Diese Änderung gilt nicht für Mitarbeiterinnen und Mitarbeiter, die in der Verwaltungsdomäne arbeiten, da dort das Passwort über Windows-interne Mechanismen gesetzt wird und nicht über den Webservice.)
Zusätzlich zu der allgemeinen Policy zur Wahl eines gültigen Passwortes, der sog. ersten Stufe, findet im Hintergrund nun in der zweiten Stufe eine Prüfung auf Bekanntheit des Passwortes auf im Internet verfügbare Passwortlisten bereits gehackter Passwörter statt. Diese Listen enthalten gigabyteweise Passwörter, die bei erfolgreichen Einbrüchen in Datenbanken von großen Providern oder Softwareanbietern seit einigen Jahren erbeutet worden waren. Auch werden diese Listen bei neuen Ereignissen ständig aktualisiert und erweitert.
Niemand braucht Sorge zu haben, dass das gewählte, zu prüfende Passwort über das Internet transportiert wird. Es wird lediglich ein kleiner Teil eines gehashten (verschlüsselten) Passwortstrings dem Dienst gesendet. Bei einem Treffer ist die Antwort des Dienstes so gestaltet, dass zu keinem Zeitpunkt ein Rückschluss auf das abgeprüfte Passwort möglich ist.
Sollte sich das gewählte Passwort auf einer dieser Listen befinden, erscheint eine entsprechende Aufforderung, ein anderes Passwort zu wählen. Ein solches „geleaktes“ Passwort kann an der TU Braunschweig über die „Passwort-Ändern-Seite“ nicht gesetzt werden.