Richtlinie für Passwörter

Das ~~Gauß~~Gauß-IT-Zentrum als Zentrale Einrichtung der Technischen ~~Universitä~~Universität Braunschweig stellt eine Vielzahl von IT-Dienstleistungen füfür die nutzungsberechtigten Mitglieder und ~~Angehö~~Angehörigen der Hochschule zur ~~Verfü~~Verfügung.

Zur ~~Gewä~~Gewährleistung der Authentisierung, Authentifizierung, Berechtigung und Sicherheit ist in der Regel eine Anmeldung an den Systemen mit einer Kombination aus zentraler TUBS-ID und Passwort nönötig.

Sicherheit

Mit der zentralen TUBS-ID sind umfangreiche Berechtigungen ~~verknü~~verknüpft. Zur Aufrechterhaltung der Sicherheit in den IT-Systemen der TU Braunschweig ist es daher ~~unerlä~~unerlässlich, dass auch entsprechend sichere ~~Passwö~~Passwörter durch die Nutzer:innen verwendet und diese auch geheim gehalten werden. Zur Sicherstellung eines entsprechenden Sicherheitsniveaus wurde daher die vorliegende Passwort-Richtlinie erstellt. Diese ist von den Nutzer:innen der zentralen TUBS-ID einzuhalten.

FüFür die dezentral verwalteten Systeme wird eine entsprechende Handhabung empfohlen.

Passwort-PolicyPasswortregeln

~~Passwö~~Passwörter mümüssen eine gewisse ~~Komplexitä~~Komplexität aufweisen, um nicht schnell ermittelt werden zu kökönnen.

Die ~~Passwö~~Passwörter der zentralen TUBS-ID mümüssen daher wie folgt zusammengesetzt sein:

Das Passwort muss Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten:

~~Groß~~Großbuchstaben: A - Z
Kleinbuchstaben: a - z
Ziffern: 0 - 9
Sonderzeichen, nur folgende: + _ . , : -

Des Weiteren gilt füfür das Passwort:

Es muss 12 bis 30 Zeichen lang sein
Es darf nicht mit Minuszeichen (-) anfangen
Es darf nicht den letzten 10 ~~Passwö~~Passwörtern entsprechen

Es muss jede gewählte Gruppe mindestens zweimal enthalten (z. B. 2 Ziffern, 2 Sonderzeichen usw.)
Es darf nicht Teile des Namens oder der TUBS-ID enthalten, die lälänger als 2 Zeichen sind

Diese Parameter werden soweit mömöglich bei der ~~Passwortä~~Passwortänderung üüber die Webseite technisch ~~überprü~~überprüft. Dies gilt auch analog füfür die ÄÄnderung des Passwortes in der ~~Verwaltungsdomä~~Verwaltungsdomäne füfür die Konten der ~~Verwaltungsdomä~~Verwaltungsdomäne.

Als weitere ~~Ergä~~Ergänzung zur ~~Gewä~~Gewährleistung der erforderlichen Sicherheit sollte das Passwort ~~regelmäß~~regelmäßig ~~geä~~geändert werden.

Sicherer Umgang

Folgende Regeln mümüssen im Umgang mit TUBS-IDs und ~~Passwö~~Passwörtern ~~grundsä~~grundsätzlich beachtet werden:

Die ~~persö~~persönliche TUBS-ID darf nicht mit anderen geteilt werden
Ein Passwort darf nie offen kommuniziert werden (Telefon, E-Mail etc.)
Das Passwort darf Dritten nicht mitgeteilt werden
(auch nicht Service-Mitarbeitern und Administratoren des ~~Gauß~~Gauß-IT-Zentrums)
Das gleiche Passwort sollte nie bei mehreren TUBS-IDs verwendet werden
Die TUBS-ID mit dem Passwort düdürfen nicht auf externen Systemen hinterlegt werden
Ein Arbeitsplatzrechner muss beim Verlassen mit Passwort gesperrt werden

Verhalten bei Angriffsverdacht

Sollte der Verdacht bestehen, dass das Passwort kompromittiert, also in irgendeiner Form angegriffen wurde, so ist das Passwort umgehend üüber die ~~gelä~~geläufigen Wege zu äändern. ~~Darü~~Darüber hinaus ist umgehend der IT-Service-Desk zu kontaktieren.