Banner Viadrina

Umgang mit dem eigenen Paßwort

Übernommen aus dem Gopher der Katholischen-Universität Eichstädt

Der Autor Dr. Slaby war Leiter des dortigen Rechenzentrums

***********************************************************************

Benutzerkennungen, Paßwörter
und die Sicherheit von DV-Systemen
Dr. W.A. Slaby

***********************************************************************

Verleihen Sie öfter Ihre Scheckkarte mit der persönlichen Geheimnummer an Ihre Kommilitonin? Nein? Ach, Sie hängen die Scheckkarte mit der Geheimnummer gleich zur allgemeinen Benutzung an das Schwarze Brett der Fakultät? Gott, bewahre! Warum geben Sie dann Ihre Benutzerkennung mit dem zugehörigen Paßwort ohne Bedenken weiter oder verwahren einen Zettel mit diesen Informationen unter der Tastatur Ihres PCs? Das ist doch ein himmelweiter Unterschied, werden Sie einwenden. Zugegeben, ich übertreibe ein wenig, und an Bargeld wird man mit Ihrer Benutzerkennung und Ihrem Paßwort wohl nicht herankommen. Aber abgesehen davon, daß ein Fremder, der im Besitz Ihrer Benutzerkennung mit Ihrem Paßwort ist, Ihre persönliche elektronische Post lesen und (wenn er Ihnen schaden will) Ihre wertvollen Dateien verändern oder löschen kann, er kann unter Ihrem Namen eventuell auch erhebliche Kosten verursachen, sei es durch die ausgiebige Nutzung der durch die Universität für Aufgaben in Forschung und Lehre bereitgestellten DV-Systeme und -Programme für eigene private oder sogar kommerzielle Zwecke, sei es durch den Mißbrauch der internationalen Rechnernetze, sei es durch die Nutzung kostenpflichtiger Datenbank-Dienste z.B. beim Scientific Technical Network (STN) oder bei JURIS, zu denen Sie etwa als Mitarbeiter oder Doktorand an einem entsprechenden Lehrstuhl einen offiziellen Zugang besitzen.

Die wenigen hier aufgezeigten Auswirkungen einer mißbräuchlichen Nutzung der Ihnen persönlich zugeordneten Benutzerkennung machen bereits deutlich, daß ein sorgsamer Umgang mit Ihrer Benutzerkennung und Ihrem Paßwort dringend geboten ist.

Regel 1:

Behandeln Sie Ihre Benutzerkennung und Ihr Paßwort wie Ihre Scheckkarte mit der persönlichen Geheimnummer: geben Sie sie weder an Dritte weiter noch machen Sie sie in irgendeiner Weise allgemein bekannt und verfügbar!

Doch auch wenn Sie selbst entsprechend dieser Regel sorgsam mit Ihrer Benutzerkennung und Ihrem Paßwort umgehen, können Sie nicht verhindern, dass es bösartige Zeitgenossen (sogenannte Cracker) gibt, die versuchen, Ihr Paßwort auszuspionieren, um sich auf diese Weise die damit verbundenen Nutzungs-, Zugangs- und Zugriffsrechte anzueignen und damit in den betroffenen Systemen einen ersten Fuß in der Tür für weitere Hacker-Aktivitäten zu haben. Dieser Gefahr können Sie nur dadurch wirksam begegnen, daß Sie durch eine ausgeklügelte Paßwortwahl das Ausspionieren Ihres Paßworts massiv erschweren.

Wodurch zeichnet sich nun ein gutes, weil schwer zu "knackendes" Paßwort aus? Ihr Paßwort sollte aus einer Mischung von (scheinbar) willkürlich gewählten Buchstaben, Sonderzeichen und Ziffern bestehen und eine gewisse Mindestlänge von sechs oder mehr Zeichen aufweisen.

Damit Sie sich selbst die Zeichenfolge trotzdem gut merken können und dazu nicht wieder einen Zettel benötigen, sollte sich die Zeichenfolge leicht aus einem nur Ihnen bekannten Merksatz ableiten lassen, wie zum Beispiel das Paßwort Isdu17UT aus dem Satz "Ich spiele dienstags um 17 Uhr Tennis". Mit einem solchen Paßwort machen Sie es einem Cracker sehr schwer, wenn nicht unmöglich, das Paßwort durch Verschlüsselung von Wörterbucheinträgen, Vornamen von Personen o.ä. und Vergleich mit den auf dem Rechner abgespeicherten verschlüsselten Paßwörtern herauszugekommen.

Regel 2:

Wählen Sie ein Paßwort mit einer Länge von sechs oder mehr Zeichen, das aus einer Mischung von (scheinbar) willkürlich gewählten Buchstaben, Sonderzeichen und Ziffern besteht, das Sie sich (etwa über einen Merksatz) trotzdem gut einprägen können. Ändern Sie Ihr Paßwort in regelmässigen Abständen und verwenden Sie dabei kein früher gewähltes Paßwort noch einmal.

Selbstverständlich unterstützt Sie das Universitätsrechenzentrum durch verschiedene technische Schutzmaßnahmen in Ihrem Bemühen, das unbefugte Eindringen in die verschiedenen Server durch ein geeignet gewähltes und geheimgehaltenes Paßwort zu verhindern. So wird beispielsweise auf den NetWare-Servern die regelmäßige Paßwortänderung erzwungen; außerdem wird dort jede Benutzerkennung gesperrt, mit der dreimal nacheinander ergebnislos versucht wurde, sich am NetWare-Server als zugelassener Benutzer anzumelden. Auf den verschiedenen UNIX-Servern sorgt ein besonderes Systemprogramm dafür, daß Cracker, die von einem Rechner außerhalb unseres Hochschulnetzes über unseren Anschluß an das weltweite INTERNET in einen der UNIX-Server einzudringen versuchen, sofort abgeschmettert werden.

Dank der Aktivitäten verschiedener Computer Emergency Response Teams (CERTs), unter ihnen auch das DFN-CERT in Hamburg, werden die Schutzmechanismen ständig weiterentwickelt und verfeinert, damit der Kampf des für die Server-Sicherheit verantwortlichen Systembetreuers gegen potentielle Cracker nicht zu einem aussichtslosen Wettkampf zwischen Hase und Igel wird.