Beim Shoulder Surfing handelt es sich um eine Situation, in der jemand unbefugt über die Schulter schaut und sensible Informationen wie Passwörter abfängt.

Besonders das Anzeigen von Buchstaben bei der Passworteingabe erleichtert das Mitlesen.

Es ist wichtig sicherzustellen, dass niemand beim Eingeben von sensiblen Daten, wie Passwörtern, mitschauen kann. Für Laptopbildschirme gibt es spezielle Bildschirmfolien, die das (seitliche) Mitlesen erschweren.

Beim Social Engineering versucht ein Angreifer, durch Lügen und Täuschungen, an vertrauliche Informationen zu gelangen, indem er direkten Kontakt zu potenziellen Opfern sucht.

Dies kann auch durch Phishing erfolgen, bei dem falsche Informationen verwendet werden. Der Angreifer kann sich zum Beispiel als Supportmitarbeiter ausgeben, um an Passwörter zu gelangen.

Es ist wichtig zu beachten, dass kein legitimer Support, insbesondere nicht der IT-Helpdesk, jemals nach Ihrem Passwort fragen würde, weder per E-Mail noch am Telefon. Daher dürfen Sie niemals Ihr Passwort weitergeben.

Ein Keylogger gelangt in der Regel durch schädliche Software auf Ihren Computer. Sobald er installiert ist, zeichnet er alle Ihre Tastatureingaben auf und sendet sie an den Angreifer.

Laden Sie nie eine Software von fragwürdigen Internetseiten herunter und öffnen Sie keine Anhänge von unbekannten Absendern.

Weitere Informationen über Schadsoftware und wie Sie sich davor schützen können, finden Sie hier.

Außerdem gibt es zudem auch Hardware-Keylogger dies ist ein physisches Gerät, das zwischen einer Tastatur und einem Computer angeschlossen wird, um die Tastenanschläge des Benutzers aufzuzeichnen und sensible Informationen wie Passwörter zu stehlen.

Beim Sniffing werden Netzwerkverbindungen abgehört, um übertragene Daten wie Passwörter zu erfassen.

Besonders in fremden oder öffentlichen WLAN-Netzwerken sollten Sie nur verschlüsselte Verbindungen wie HTTPS verwenden, um sich zu schützen.

Wenn Sie universitätsinterne Informationen außerhalb des MUI-Netzes verarbeiten, ist es ratsam, eine Client-VPN Verbindung zur Medizinischen Universität zu aktivieren.

An der MUI wird hierfür der Cisco Secure Client verwendet.

Es kommt häufig vor, dass Onlinedienste ihre Webseiten und Passwortdatenbanken unzureichend schützen. Falls die Passwortdatenbank nicht verschlüsselt ist, kann ein Angreifer, der Zugriff darauf hat, leicht auf die Passwörter zugreifen.

Oft werden in der Datenbank auch Benutzernamen oder E-Mailadressen gespeichert, die mit den Passwörtern verknüpft sind. Da viele Dienste die E-Mailadresse zur Anmeldung verwenden, könnte ein Angreifer die Kombination aus E-Mailadresse und Passwort bei anderen Diensten (zum Beispiel PayPal oder Social Media Plattformen) ausprobieren. Aus diesem Grund ist es wichtig, für jeden Dienst, den Sie nutzen, ein individuelles/einzigartiges Passwort zu verwenden.

Bei einer Wörterbuchattacke nutzen Angreifer die Tatsache aus, dass viele Passwörter aus realen Wörtern bestehen.

Sie verwenden sogenannte Rainbow-Tables, Listen mit Hash-Werten von Namen, Orten und Wörtern aus verschiedenen Wörterbüchern, die frei im Internet verfügbar sind. Der Angreifer vergleicht dann einfach die Rainbow-Tables mit dem Hash-Wert des Passworts, um das Passwort zu entschlüsseln.

zur Info: 

Hash-Werte sind eine verschlüsselte Form von Passwörtern, die keine Rückschlüsse auf das ursprüngliche Passwort zulassen.

Eine Rainbow Table ist eine Sammlung von vorab berechneten Hash-Werten für viele Passwörter, die verwendet wird, um schnell herauszufinden, welches Passwort zu einem bestimmten Hash gehört.

Der Begriff "Brute-Force" bedeutet wörtlich übersetzt "rohe Gewalt". Bei einer Brute-Force-Attacke versucht der Angreifer alle möglichen Zeichenkombinationen, um das Passwort zu erraten.

Abhängig von der Länge und Komplexität des Passworts kann es der Angreifer in nur wenigen Sekunden knacken. Eine KI knackt 51% der gängigen Passwörter innerhalb einer Minute.

Ein langes und komplexes Passwort, das aus einer Kombination von Klein- und Großbuchstaben, Zahlen und Sonderzeichen besteht, bietet einen effektiven Schutz vor dieser Art von Angriff.

Unter checkdeinpasswort.de können Sie testen wie sicher Ihre Passwörter sind.

Merksätze

Denken Sie sich einen leicht zu merkenden Satz aus:
"In Innsbruck blüht das Leben auf den Bergen und in der Stadt, sowie in der Nacht."

Verwenden Sie die Anfangsbuchstaben jedes Wortes, um Ihr Passwort zu erstellen:
1IbdLadB&idSsidN

Tipp: Ersetzen Sie Wörter durch passende Sonderzeichen (z.B. „und“ wird zu „&“ oder „i“ wird zu „1“)

Schüttelwörter

Denken Sie sich zwei unabhängige Wörter aus:  zb. Apfel und Tisch.

Kombinieren Sie diese:
Apfeltisch, Tischapfel, Apfelbaumtisch

Ändern Sie Groß- und Kleinschreibung mind. 1x willkürlich:
tisChaPfeL

Fügen Sie nun noch Ziffern bzw. Zahlen ein und/oder ersetzen Buchstaben:
t1sChaPf3L98

Zum Schluss fügen Sie noch Sonderzeichen hinzu und/oder ersetzen Buchstaben:
t1sCh&Pf3L_98!

Wortkombinationen

Bei dieser Methode nehmen Sie eine zufällige Aneinanderreihung zusammenhangloser Wörter, gerne auch Fantasiewörter, als Passwort.

Beispiele:

• BlauBergKegelKrug
• DrachenkönigWolkenfee123!

Als Angehörige der medizinischen Universität Innsbruck erhalten Sie eine zentrale Benutzerkennung, die als q-Kennung bekannt ist. Diese wird benötigt, um auf verschiedene Dienste wie E-Mail-Konto, EDUROAM oder Moodle zuzugreifen.

Weitere Informationen zur q-Kennung finden Hier.

Besonderer Schutz Ihres E-Mailkontos

Es gibt diverse Ursachen, weshalb es wichtig ist, dass Ihr E-Mailkonto besonders gesichert ist und daher ein komplexes sowie individuelles Passwort erfordert.

• Durch den Zugriff auf das E-Mailkonto kann ein Angreifer die Passwörter anderer Dienste zurücksetzen,
  was ihm Zugang zu diesen Diensten und sämtlichen dort gespeicherten Daten ermöglicht.
• Da E-Mailadressen oft als Anmeldedaten für andere Dienste dienen, kann ein Angreifer wenn das Passwort das selbe ist,
  problemlos auf verschiedene Konten zugreifen und sich überall anmelden.
• Durch gehackte E-Mail-Konten können Angreifer auf sensible Daten zugreifen. Statt E-Mailkonten zur Datenablage zu nutzen, sollten Sie sichere Speicherlösungen verwenden.

Was ist ein Passwort Manager?

Ein Passwortmanager fungiert als sicherer Tresor, in dem man seine Passwörter speichern kann, um bei Bedarf darauf zugreifen zu können.

Je nach verwendetem Passwortmanager bietet dieser zusätzliche Funktionen wie die Generierung zufälliger Passwörter, das Hinzufügen von Notizen oder das Speichern von Identitäts- und Zahlungsdaten.

Vorteile eines Passwort Managers?

• Durch die Verwendung eines Passwort-Managers muss man sich nur noch ein Hauptpasswort merken, um auf alle anderen gespeicherten Passwörter zugreifen zu können.
• Es wird einfacher, für jedes Benutzerkonto ein individuelles Passwort zu erstellen, da man sich die einzelnen Passwörter nicht mehr merken muss.
• Durch die Verwendung des integrierten Passwortgenerators können komplexe, zufällige und sichere Passwörter erstellt werden.
• Einige Passwort-Manager bieten die Möglichkeit einer Zwei-Faktor-Authentifizierung durch Verwendung einer Schlüsseldatei.

Nachteile eines Passwort Managers?

• Wenn das Hauptpasswort vergessen wird, die Schlüsseldatei verloren geht oder die gesamte Datenbank beschädigt wird, kann der Zugriff auf alle Passwörter verloren gehen.
  Daher ist es entscheidend, Sicherungskopien der Schlüsseldatei und Datenbank zu erstellen.
• Wenn eine andere Person das Hauptpasswort kennt, kann sie Zugriff auf alle Passwörter erhalten. Daher ist es besonders wichtig, dass das Hauptpasswort komplex und sicher ist.

1Password und dessen Nutzungsvoraussetzungen

Die MUI stellt ihren Mitarbeitern 1Password als Passwort Manager zentral zur Verfügung.
Bei der Verwendung von 1Password auf dem Universitäts­rechner sind folgende Nutzungs­voraussetzungen zu beachten:

• Hauptpasswort: min. 16 Zeichen, Groß- & Kleinbuchstaben, Sonderzeichen & Zahlen
• Passwortdatenbank: nur für einen selbst zugreifbar
• Sicherung: 1Password ist ein Clouddienst und wird vom Hersteller gesichert

Eine ausführliche Anleitung zu 1Password finden Sie hier:  1Password Support 

Für weiterführende und aktuelle Informationen zu diesem Thema besuchen Sie bitte diese Webseite  Gefahr Datenleaks: Achten Sie auf Passwort-Sicherheit! - Watchlist Internet