Das Zentrum für Datenverarbeitung (ZDV) führt seit Januar für jedes neue Passwort und jede Passwortänderung einen zusätzlichen Sicherheitscheck mit der Datenbank https://haveibeenpwned.com/ durch. Diese sammelt die Hashes der Passwörter* aus Passwortdatenbanken, die im Internet kursieren und prüft, ob das gewählte Passwort bei einem vorausgegangenen Datenleck veröffentlicht wurde. Wenn dies der Fall ist, erhalten User auf der Seite des JGU-Accounts einen Hinweis, dass das eingegebene Passwort Teil eines Datenlecks war und nicht verwendet werden darf.
Bei einer Änderung des Passwortes unter Windows über die Tastenkombination CTRL + Alt + Del oder
Strg + Alt + Entf „Kennwort ändern“ erscheint in einem solchen Fall der Hinweis, dass das Passwort den Komplexitätsregeln nicht genügt. Eine spezifischere Meldung kann nicht dargestellt werden, da das ZDV keine Möglichkeit hat diese anzupassen.
Um sicherzustellen, dass die Hashes der Passwörter* nicht an eine dritte Partei oder Webseiten weitergegeben werden, kopierte das ZDV die komplette Datenbank direkt vom Anbieter und lässt diese über eigene Server laufen.
Weitere Informationen zur Erstellung von sicheren Passwörtern: https://www.zdv.uni-mainz.de/account-passwort-aendern/
*Technischer Hintergrund
Das Passwort selbst (der Klartext) wird nicht geprüft. Dieses sollte nur der User kennen. Stattdessen werden die sogenannten Hashes der Passwörter begutachtet. Das sind Zeichenfolgen einer bestimmten Länge, die mit Hilfe von mathematischen Verfahren ermittelt werden. Dieser Prozess kann als eine Art der Codierung bezeichnet werden und erfolgt in die Richtung Passwort -> Hash relativ schnell. Die Umkehrung (Hash -> Passwort) also das Zurückrechnen eines Hashes ist aber aufgrund der Komplexität und des enormen Rechenaufwandes fast unmöglich.
Mehr Neuigkeiten aus dem ZDV → finden Sie hier.