Viele Angriffe gegen Hochschulen (und Unternehmen) beginnen damit, dass ein einzelner Benutzer:innen-Account übernommen wird (kompromittiert). Ausgehend von diesem Startpunkt bewegen sich die Angreifer durch das Netz und suchen nach weiteren Schwachstellen, um sich letztendlich im Netzwerk einzunisten. Die Übernahme des Accounts gelingt in den meisten Fällen durch schlechte Passwörter, die leicht erraten werden können. Unser regelmäßiger Passwort-Test untersucht die Passwörter der Studierenden und Mitarbeitenden auf ihre Qualität und versucht es so, Angriffe zu erschweren.

Passwörter sind dann sicher, wenn sie hinreichend lang (12 und mehr Zeichen) sind, keine Muster bilden (z.B. qwertz12345 oder 1qay2wsx3edc) und nicht aus einem Wörterbuch stammen. Es handelt sich auch dann noch um schlechte Passwörter, wenn sie aus einem Wörterbuch entnommen wurden und dann verändert, z.B. Sp1derm@n oder N8sch1cht!.

Wir speichern natürlich keine Passwörter im Klartext, das wäre grob fahrlässig. Es wird ein sogenannter Hash (Prüfsumme) gespeichert, aus dem sich das ursprüngliche Passwort nicht mehr rekonstruieren lässt. Wenn Sie sich anmelden, wird von ihrem Passwort die Prüfsumme bestimmt und mit der gespeicherten verglichen. Ihr Passwort wird zu keinem Zeitpunkt im Klartext abgelegt oder verarbeitet.

Wir gehen vor, wie es auch ein Angreifer tun würde, der in den Besitz eines Passwort-Hashes gekommen ist oder versucht Passwörter durchzuprobieren. D.h. wir testen die vorhandenen Hashes gegen ein Wörterbuch mit bekannten Passwörtern, Eigennamen und Wörtern aus verschiedenen Sprachen. Auf diese Wörterbücher wenden wir dann noch die üblichen Permutationsregeln an (a -> 4, o -> 0 etc.). Obwohl wir also Ihr Passwort nicht im Klartext kennen, können wir prüfen, ob wir es in kurzer Zeit brechen können. Falls das gelingt, gilt es für uns als unsicher und es stammt sicher aus einem Wörterbuch - möglicherweise mit Anpassungen oder Zusätzen.

Nein, wir kennen Ihr Passwort nicht. Uns reicht die Information, dass der Wörterbuchangriff erfolgreich war, um Sie informieren zu können. Wir speichern nicht, welches Passwort wir zu Ihrem Account gefunden haben.

Wenn Ihr Passwort durch den beschriebenen Test als schwach erkannt wurde, werden Sie von uns per E-Mail informiert und dazu aufgefordert, es zu ändern. Bitte kommen Sie dieser Aufforderung möglichst zügig im Interesse der IT-Sicherheit der Hochschule nach.

Informationen und die Möglichkeit das Passwort zu ändern finden Sie hier.

Wenn Sie mehrfach bei der regelmäßigen Überprüfung der Passwortsicherheit mit einem schwachen Passwort auffallen, wird Ihr Account auf das Initialpasswort zurück gesetzt.

Wenn Sie Ihr altes Passwort nicht mehr kennen, können Sie es nicht direkt selbst ändern. In diesem Fall folgen Sie bitte der Anleitung auf der vorherigen Seite unter "Vergessene Passwörter".

Wir, das DISMS-Team, das Team für Datenschutz und Informationssicherheit (Leitung CIT M.Schulz, Prof. T. Smits, ISBe A. Sommer) führen dieses Verfahren durch.

Ihre Fragen sind willkommen - mailen Sie uns an disms@hs-mannheim.de