Passwörter sollten möglichst nicht aufgeschrieben werden. Zumindest nicht auf einen Zettel, der unter die Tastatur geklebt wird. Passwörter sollten überhaupt nicht in der Nähe des Computers aufbewahrt werden. Man sollte sie auch ohne jede Ausnahme nicht an andere weitersagen, auch nicht an Familienangehörige, gute Freunde oder liebe Kollegen. Passwörter, die andere kennen, sind keine guten Passwörter mehr.

Wenn man sein Passwort vergessen hat, kann der Systemadministrator, der Passwörter übrigens nicht im Klartext einsehen kann, weil sie in einer verschlüsselten Passwortdatei aufbewahrt werden, das Passwort zurücksetzen. Weil der Administrator das Passwort nicht einsehen kann, kann er es Ihnen auch nicht sagen (netter Versuch!). Es gibt dann 2 Möglichkeiten. Die eine ist, er vergibt für Ihren Rechner ein Einmalpasswort, das er ausdruckt und mitgibt. Bei der ersten Anmeldung am System mit diesem Einmalpasswort werden Sie aufgefordert, ein neues Passwort einzugeben. Die andere Möglichkeit ist, dass der Administrator, während Sie am Telefon sind und ihm das vergessene Passwort beichten, das alte Passwort zurücksetzt und Sie dann direkt in das System Ihr neues Passwort eingeben.

 
Hinweis

Social Engineering

Man darf sein Passwort niemals einem Anrufer sagen, und ist die Geschichte noch so plausibel. Man spricht bei derartigen Versuchen von Social Engineering (zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Informationen oder technische Infrastrukturen zu gelangen). Es dürfte sich dabei um einen Versuch handeln, das Passwort für das System auf recht einfachem Wege zu erhalten, ohne dass man das Risiko eines Angriffs auf sich nehmen muss.

Hat man eine Datei oder einen Ordner mit einem Passwort geschützt, benötigt der Empfänger dieses Passwort, um die Datei öffnen zu können. Dazu muss man dem Empfänger das Passwort mitteilen. Hat man die Datei oder den Ordner an eine Mail angehängt, so darf man das Passwort auf keinen Fall über denselben Kanal versenden, also keinesfalls mit derselben Mail und möglichst überhaupt nicht per Mail. Der Grund für dieses Verbot ist einleuchtend: Hat sich ein Angreifer in die Weiterleitung eingehackt, kann er sowohl die Mail mit der eingebundenen per Passwort geschützten Datei als auch das zugehörige Passwort einfach abfangen. Dann ist der Schutz nichts mehr wert. Man sollte also das zugehörige Passwort über einen anderen Kanal versenden, z. B. als SMS oder per Telefon durchgeben.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?


Meistgelesene beiträge