Passwörter, PINs & Co.

•  Ein Passwort braucht eine gen¨¹gende Anzahl von Zeichen, es muss im Minimum 12 Zeichen haben.
  Mit heutiger Computertechnik kann mit Milliarden von Passwortkombi?nationen pro Sekunde versucht werden, ein Passwort zu erraten. Deshalb ist nur ein langes Passwort ein sicheres Passwort. Denn die Zahl der m?glichen Kombinationen w?chst exponentiell mit jedem zus?tzlichen Zeichen. Passw?rter m¨¹ssen im Minimum 12 Zeichen lang sein.
• PINs sollten so lang wie m?glich gew?hlt werden, vier Zeichen sind wenig.

W?hlen Sie keine Tastaturfolgen wie ?asdfghijkl? oder ?1234567890? oder W?rter, die in einem W?rterbuch vorkommen, und nicht oder nur minimal modifiziert werden, z.B. ?geheim1? oder ?passw0rt?.

Diese Varianten finden sich in sogenannten ?rainbow tables? und werden in kurzer Zeit geknackt.

Verzichten Sie auf Begriffe und Zahlen aus Ihrem pers?nlichen Umfeld wie z.B. das Geburtsdatum der Tochter oder den Namen der Katze.

Ein Passwort-?Safe oder Passwort-Manager speichert Passw?rter in einer verschl¨¹sselten Datenbank.

Das Entschl¨¹sseln erfolgt durch ein sogenanntes Master-?Passwort, welches extrem sicher sein muss.

Password-Manager k?nnen zu jedem Benutzungskonto diverse Attribute verwalten.

Mit einem eingebauten Generator k?nnen sichere Passw?rter generiert werden.

Vorteile eines Passwort-Managers:

• Man muss sich nur ein Passwort merken: das Master-Passwort
• Alle hier abgelegten Passw?rter k?nnen sehr lang und komplex sein, denn sie m¨¹ssen nur in seltenen F?llen von Hand eingegeben werden. Meistens kann ?copy/paste? verwendet werden.
  
• Alle Passw?rter sind an einem Ort abgelegt und auch mit dem Mobiltelefon abrufbar.

Die ID empfehlen Keepass: Passwort-Manager Empfehlung f¨¹r Endbenutzende

Eine g?ngige Art, sich Passw?rter zu ?merken?, ist, diese im Browser zu speichern.

Das birgt Risiken:

• Diese Passw?rter sind mit dem Login-?Passwort des Computers verschl¨¹sselt. Alle, die das Passwort eines Computers kennen, k?nnen die im Browser gespeicherten Passw?rter im Klartext auslesen.
• Angreifer k?nnen versuchen, mit Hilfe von Schadprogrammen diese Passw?rter zu stehlen.

Es empfiehlt sich f¨¹r unterschiedliche Benutzungskonten, Dienste oder Ger?te unterschiedliche Passw?rter beziehungsweise PINs zu w?hlen.

Denn wenn Ihr Facebook-Profil geknackt wird, wollen Sie nicht riskieren, dass Ihr Online-Banking ebenfalls ohne Schutz dasteht.

Geben Sie Passw?rter und PINs nie weiter, weder Ihren Assistierenden oder Mitarbeitenden, noch der IT-Supporterin, auch nicht an Bekannte und erst recht nicht an fremde Personen.

Wenn Sie in einer Applikation anderen Personen Zugriff auf Daten oder Prozesse geben m¨¹ssen, regeln Sie dies ¨¹ber Rollen oder Delegationen.

Notieren Sie sich Ihre Passw?rter und PINs nie im Klartext.

Wenn es in Ausnahmef?llen dennoch n?tig sein sollte, m¨¹ssen sie unter Verschluss gehalten werden und d¨¹rfen nur f¨¹r die berechtigten Personen zug?nglich sein.

Verzichten Sie m?glichst auf den Passwort-Speicher Ihres Browsers. Falls Sie ihn doch benutzen wollen, beachten Sie bitte:

Passw?rter, die im Passwort-Speicher des Browsers abgelegt weden, werden mit dem Login-?Passwort des Computers verschl¨¹sselt. Verwenden Sie deshalb lange und komplexe Login-Passw?rter f¨¹r Ihre Systeme. Geben Sie das Ger?te-?Passwort nie an Dritte weiter, auch nicht dem IT-?Support.

Setzen Sie einen Passwort-Manager ein, um Ihre zahlreichen Passw?rter sicher zu verwalten.

• Achten Sie bei der Auswahl des Passwort-Managers darauf, dass die Datenbank mit den Passw?rtern sicher verschl¨¹sselt wird und Sie bestimmen k?nnen, wo die Daten gespeichert werden. Passw?rter der ETH Z¨¹rich d¨¹rfen nicht in der Cloud abgelegt werden.
• W?hlen Sie ein sehr langes, komplexes Master-Passwort f¨¹r Ihren Passwort-Manager.
• Wenn m?glich, sch¨¹tzen Sie Ihren Passwort-Manager mit einem zweiten Authentisierungsfaktor.
  

Wenn Sie wissen oder auch nur bef¨¹rchten, dass jemand Unbefugtes Ihr Passwort gestohlen hat beziehungsweise haben k?nnte:

• ?ndern Sie auf https://www.password.ethz.ch/ unverz¨¹glich das Passwort.
• Kontaktieren Sie Ihren zust?ndigen IT-Support um abzukl?ren, ob weitere Massnahmen notwendig sind.
• Wenn Sie das gleiche Passwort auch bei anderen Accounts verwenden (was nat¨¹rlich nicht empfohlen ist), ?ndern Sie das Passwort auch bei diesen Benutzungskonten.
  

• Je l?nger und aussergew?hnlicher, umso sicherer ist Ihr Passwort.
• Passw?rter mit 12 und mehr Zeichen sind sicher.
• Verwenden Sie mindestens 3 verschiedene Arten von Zeichen:
  
  • Grossbuchstaben (A-Z)
  • Kleinbuchstaben (a-z)
  • Ziffern (0-9)
  • Sonderzeichen (#, - . / : = ? @ [ ] { } etc.).
• Verwenden Sie keine Umlaute, Akzente oder Leerzeichen.

Um ein gutes Passwort zu bilden, k?nnen Sie wie folgt vorgehen:

• Nehmen Sie einen Satz, den Sie sich gut merken k?nnen, z.B.:
  Im Sommer 2024 werde ich voraussichtlich mein Doktorat abschliessen.
• Bilden Sie ein Passwort mit den jeweiligen Anfangsbuchstaben, Sonderzeichen und Zahlen des formulierten Satzes:
  IS2024wivmDa.
• Zus?tzlich k?nnen Sie einzelne Zeichen ersetzen, beispielsweise ?0? statt ?O? oder ?I? statt ?1? verwenden.

So entsteht ein Passwort aus einer beliebigen Zeichenfolge, das Sie sich gut merken oder aus dem zugrunde liegenden Satz rekonstru?ieren k?nnen.

Sie k?nnen auch einen ganzen Satz als Passwort (passphrase) benutzen: 7Orangen+3Bananenmoechteichtaeglichessen!