Kennwortrichtlinie

Werden in einem IT-System Passwörter zur Authentisierung gebraucht, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass das Passwort korrekt gebraucht wird. Die hier aufgeführten Regeln sind unbedingt zu beachten.

Informationen zum Ändern oder Zurücksetzen von Passworten finden Sie auf dieser Webseite.

Passwort-Richtlinien für den Windows-Campus-Account

Der Campus Account ist einer der wichtigsten Acounts in der GSI, denn er ermöglicht Ihnen nicht nur Zugang zu der Windows-Welt, sondern unabhängig von dem verwendeten Betriebssystem Zugriff auf Ihre E-Mails.

Anforderungen an die Komplexität des Passworts

  • Das Passwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.
  • Das Passwort muss mindestens 10 Zeichen lang sein. Beim Ändern über OWA darf das Passwort max. 15 Zeichen lang sein!
  • Das Passwort muss Zeichen aus drei der folgenden vier Kategorien enthalten:
    • Großbuchstaben (A bis Z)
    • Kleinbuchstaben (a bis z)
    • Zahlen zur Basis 10 (0 bis 9)
    • Nicht alphabetische Zeichen (zum Beispiel !, $, #, %)
  • Diese Komplexitätsvoraussetzungen werden erzwungen, wenn Passworte geändert oder erstellt werden.

Gültigkeitsdauer des Passworts & Temporäre Account Sperrung

  • Ein Passwort kann maximal 180 Tage lang verwendet werden, bevor das System den Benutzer auffordert, dieses zu ändern.
  • Ein bereits in der Vergangenheit verwendetes Passwort kann erst dann wieder benutzt werden, wenn in der Zwischenzeit mindestens 6 weitere verwendet worden sind.
  • Ein Passwort muß mindestens 1 Tag verwendet werden, bevor es wieder geändert werden kann.
  • Ein Benutzer hat maximal 50 erfolglose Anmeldeversuche, bevor sein Account gesperrt wird.
  • Nach einem Zeitraum von 180 Minuten wird die Sperrung automatisch wieder aufgehoben. Alternativ kann ein Administrator das Kennwort zurücksetzten.

Programm zum Verwalten von Passwörtern

Bei der Vielzahl der zu verwendenden Accounts und Passwörtern ist es ratsam, ein Programm zur Verwaltung der Passwörter zu verwenden. Wir empfehlen KeePass (Windows, Installation aus dem Software Center) bzw. KeePassX (Linux, ist standardmäßig installiert).

In die Datenbank des Programms speichern Sie alle Accounts mit den jeweiligen Passwörtern. Die Datenbank selbst wird durch einen Hauptschlüssel (Master Key) gesichert. Dieser Hauptschlüssel sollte hinreichend komplex sein und ist das einzige Kennwort, das Sie sich merken müssen.

Bitte beachten Sie: 

  • Die Datenbank ist nur dann verschlüsselt, wenn das Programm nicht geöffnet (entsperrt) ist.

Weitere wichtige Regeln zum sicheren Passwortgebrauch

Der nachfolgende Text ist in Auszügen einer Information des Bundesamtes für Sicherheit in der Informationstechnik entnommen:

  • Keine "Wörterbuch"-Phrasen, Namen, Kfz-Kennzeichen, Geburtsdatum etc.
  • Das Passwort muss geheimgehalten werden und darf nur dem Benutzer persönlich bekannt sein.
  • Das Passwort sollte nur für die Hinterlegung schriftlich fixiert werden, wobei es dann in einem verschlossenen Umschlag sicher aufbewahrt wird. Wird es darüber hinaus aufgeschrieben, ist das Passwort zumindest so sicher wie eine Scheckkarte oder ein Geldschein aufzubewahren.
  • Ein bewährtes Verfahren zur Passworterstellung ist es, die Anfangsbuchstaben eines Satzes zu verwenden: So ergibt etwa "Mein Hut, der hat drei Ecken!" ein Kennwort "MH,dh3E!".
  • Passwörter dürfen nicht auf programmierbaren Funktionstasten gespeichert werden.
  • Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist.
  • Die Eingabe des Passwortes sollte unbeobachtet stattfinden.
  • Bitte beachten Sie auch die Hinweise und Regeln zu Passwörtern der Stabsstelle IT Sicherheit.

Haben Sie noch weiterführende Fragen, so senden Sie bitte eine E-Mail an it-service.