Richtlinie für Passwörter
Das Gauß-IT-Zentrum als Zentrale Einrichtung der Technischen Universität Braunschweig stellt eine Vielzahl von IT-Dienstleistungen für die nutzungsberechtigten Mitglieder und Angehörigen der Hochschule zur Verfügung.
Zur Gewährleistung der Authentisierung, Authentifizierung, Berechtigung und Sicherheit ist in der Regel eine Anmeldung an den Systemen mit einer Kombination aus zentraler TUBS-ID und Passwort nötig.
Sicherheit
Mit der zentralen TUBS-ID sind umfangreiche Berechtigungen verknüpft. Zur Aufrechterhaltung der Sicherheit in den IT-Systemen der TU Braunschweig ist es daher unerlässlich, dass auch entsprechend sichere Passwörter durch die Nutzer:innen verwendet und diese auch geheim gehalten werden. Zur Sicherstellung eines entsprechenden Sicherheitsniveaus wurde daher die vorliegende Passwort-Richtlinie erstellt. Diese ist von den Nutzer:innen der zentralen TUBS-ID einzuhalten.
Für die dezentral verwalteten Systeme wird eine entsprechende Handhabung empfohlen.
Passwortregeln
Passwörter müssen eine gewisse Komplexität aufweisen, um nicht schnell ermittelt werden zu können.
Die Passwörter der zentralen TUBS-ID müssen daher wie folgt zusammengesetzt sein:
Das Passwort muss Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten:
- Großbuchstaben: A - Z
- Kleinbuchstaben: a - z
- Ziffern: 0 - 9
- Sonderzeichen, nur folgende: + _ . , : -
Des Weiteren gilt für das Passwort:
- Es muss 12 bis 30 Zeichen lang sein
- Es darf nicht mit Minuszeichen (-) anfangen
- Es darf nicht den letzten 10 Passwörtern entsprechen
-
Es muss jede gewählte Gruppe mindestens zweimal enthalten (z. B. 2 Ziffern, 2 Sonderzeichen usw.)
- Es darf nicht Teile des Namens oder der TUBS-ID enthalten, die länger als 2 Zeichen sind
Diese Parameter werden soweit möglich bei der Passwortänderung über die Webseite technisch überprüft. Dies gilt auch analog für die Änderung des Passwortes in der Verwaltungsdomäne für die Konten der Verwaltungsdomäne.
Als weitere Ergänzung zur Gewährleistung der erforderlichen Sicherheit sollte das Passwort regelmäßig geändert werden.
Sicherer Umgang
Folgende Regeln müssen im Umgang mit TUBS-IDs und Passwörtern grundsätzlich beachtet werden:
- Die persönliche TUBS-ID darf nicht mit anderen geteilt werden
- Ein Passwort darf nie offen kommuniziert werden (Telefon, E-Mail etc.)
- Das Passwort darf Dritten nicht mitgeteilt werden
(auch nicht Service-Mitarbeitern und Administratoren des Gauß-IT-Zentrums) - Das gleiche Passwort sollte nie bei mehreren TUBS-IDs verwendet werden
- Die TUBS-ID mit dem Passwort dürfen nicht auf externen Systemen hinterlegt werden
- Ein Arbeitsplatzrechner muss beim Verlassen mit Passwort gesperrt werden
Verhalten bei Angriffsverdacht
Sollte der Verdacht bestehen, dass das Passwort kompromittiert, also in irgendeiner Form angegriffen wurde, so ist das Passwort umgehend über die geläufigen Wege zu ändern. Darüber hinaus ist umgehend der IT-Service-Desk zu kontaktieren.