Mehr Sicherheit im Rechenzentrum

Passwortverwaltung mit Kerberos

Seit dem 11. Februar 2002 ist das Passwortverwaltungssystems "Kerberos" im Rechenzentrum eingeführt worden. Nach erfolgreicher Umstellung des HP-Pools  (UNIX) am 7.1.02, von der hauptsächlich Studenten betroffen waren, sind am 11.02.02 anton (inzwischen durch "mail" abgelöst) und die Computeserver para1, para2 und sdome (inzwischen ebenfalls durch neue Parallelrechner abgelöst) umgestellt worden.
In der letzten Stufe wurden die Windows Windows-Pools in das Kerberos-System integriert, d.h. für die Arbeit im Windows Windows-Pools wird nun auch das Kerberos-Password benötigt.

Welches Passwort gilt wo?

Das Passwort wird für alle Dienste des RZ genutzt.

Wo darf ich mein Passwort eingeben?

Das Passwort darf nur auf WWW-Seiten des RZ eingegeben oder zu deren Servern geschickt werden. Insbesondere die Weitergabe an Dritte ist gemäß Benutzerordnung nicht gestattet! Auch das Hinterlegen des Passwortes für sog. E-Mail Sammeldienste stellt eine Weitergabe dar und ist nicht gestattet.
Eine Liste der unterstützen Dienste des RZ bei denen Sie Ihr Passwort verwenden dürfen finden Sie hier.

Warum muss ich mein Passwort ändern?

Passworte 'nutzen' sich im Laufe der Zeit ab. Jedesmal, wenn Sie Ihr Passwort benutzen, gibt es eine gewisse Wahrscheinlichkeit dafür, dass es ungewollt in falsche Hände gerät. Das kann z. B. geschehen, weil Ihnen jemand auf die Finger schaut. Oder dadurch, dass Ihr Passwort von Ihrem Mailprogramm auf einem  Rechner gespeichert wurde, den Sie inzwischen an jemand anderes abgegeben haben. Oder auf Ihrem Rechner hat ein Virus Ihre Tastatureingaben ausgespäht. Oder Sie haben Ihr Passwort versehentlich an der falschen Stelle eingegeben und es taucht dadurch in einer Protokolldatei oder gar in einer Mail auf. Oder jemand hat den Verbindungsaufbau zum Mailserver abgehört. Im Laufe der Zeit summieren sich diese vielen verschiedenen Möglichkeiten und irgendwann ist es nahezu sicher, dass andere Ihr Passwort kennen.

Wie ändere ich mein Passwort?

Die WWW-Schnittstelle unseres Passwortänderungsdienstes finden Sie unter folgendem URL. Das "s" in https: ist kein Tippfehler, sondern steht für eine sichere Verbindung zum WWW-Server.

Über die WWW-Schnittstelle können Sie

  • Ihr momentanes Passwort in ein neues ändern,
  • eine Mobilfunknummer hinterlegen, um vorzusorgen, falls Sie Ihr Passwort einmal vergessen sollten,
  • sich ein neues Initial-Passwort an die hinterlegte Mobilfunknummer schicken lassen, falls Sie Ihr momentanes Passwort vergessen haben. Das Initial-Passwort müssen Sie anschließend noch in ein neues, reguläres Passwort ändern.

Wenn Ihr Passwort nur abgelaufen ist, dann können Sie es selbständig ändern, siehe Passwort ändern. Wenn Sie Ihr Passwort vergessen haben und Sie nicht ihre Mobilfunknummer bei uns hinterlegt haben, können Sie eine E-Mail an den Service Desk mit einer Kopie Ihres Ausweises schreiben oder Sie können das USC aufsuchen (Bitte bringen Sie Ihren Ausweis mit).

Was passiert, wenn ich mein Passwort nicht fristgerecht ändere?

Sie können nach Ablauf der Änderungsfrist keine Mails per POP oder IMAP mehr abrufen oder Dateien per ftp in den Homebereich oder zum WWW-Server transferieren. Selbstverständlich können Sie Ihr Passwort auch nach Ablauf der Frist noch ändern. Sie können die WWW-Schnittstelle zum Ändern aufrufen https://ps.tuhh.de/cgi-bin/passwd. Nach der Änderung können Sie POP, IMAP oder ftp sofort wieder verwenden.

Welche Anforderungen werden an mein Passwort gestellt?

Bei Nutzung der WWW-Schnittstelle https://ps.tuhh.de/cgi-bin/passwd/ werden an Passwörter folgende Anforderungen gestellt:

  • Das Passwort darf Ihre Benutzerkennung und Bestandteile Ihres Namens nicht enthalten.
  • Es muss mindestens 12 Zeichen lang sein, höchstens 20.
  • Es muss Zeichen aus mindestens 3 der folgenden Zeichenklassen enthalten:
    • - Großbuchstaben: A-Z
      - Kleinbuchstaben: a-z
      - Ziffern: 0-9
      - diese Sonderzeichen: !#$%()*+,-./:;<=>?@[]_{}

Warum müssen die Passworte so lang sein?

Computer werden immer leistungsfähiger, dadurch steigt auch die Geschwindigkeit, mit der Passworte geraten werden können. Zwar ist es mit Kerberos nicht mehr so einfach wie bei dem vorherigen System in den Besitz der Passwortinformationen des gesamten RZ zu kommen, um dann zuhause oder an einem oder mehreren anderen Rechner zu versuchen, diese zu raten. Trotzdem ist es auch bei Kerberos für jemanden, der in den Besitz bestimmter Kerberos- interner Informationen gelangt, möglich, das Passwort zu raten. Da dies umso schwieriger wird, aus je mehr Zeichen das Passwort besteht, haben wir uns für eine Mindestlänge von 12 Zeichen entschieden.

Wie soll ich mir solch ein langes Passwort merken?

Bei 10 Zeichen können Sie recht gut kleinere Sätze bilden und die Worte durch Sonderzeichen oder Groß- und Kleinschreibung trennen. Außerdem spricht auch nichts dagegen, Passworte aufzuschreiben, sofern Sie den Zettel gut vor dem Zugriff anderer schützt. Dies ist am einfachsten zu erreichen, wenn Sie den Zettel in Ihrer Geldbörse aufbewahren. Nicht geeignet dagegen sind so "sichere" Verstecke wie Schreibtischschublade, Tastatur oder Monitor.

Was bewirkt die Umstellung?

Statt an den bisherigen unsicheren NIS-Server werden die Rechner an den vorhandenen Kerberos -Server angeschlossen. Die meisten Benutzer merken davon zunächst nichts, da ihre bisherigen NIS-Passworte für eine kurze Übergangszeit als Anfangspassworte des Kerberos-Servers übernommen werden.

Wo bekomme ich Hilfe?

Mit weiteren Fragen wenden Sie sich bitte an den DV-Beauftragten Ihres Arbeitsbereiches oder an das User Service Center, E-Mail: servicedesk(at)tuhh(dot)de