Awareness-SSO-Login-Seite
Ist diese Webseite sicher?
Grundsätzlich gibt es bestimmte Sicherheitsmerkmale auf einer Webseite, die eine vertrauenswürdige von einer gefährlichen Webseite unterscheiden. Wir empfehlen Ihnen, die nachfolgenden Sicherheitstipps stets zu beachten, bevor Sie Ihre persönlichen Uni-Account Daten auf der neuen SSO-LogIn-Seite der TU Dortmund eingeben. Diese möchten wir uns nun im folgenden Screenshot anhand des neuen Designs der zentralen Anmeldeseite etwas genauer betrachten:
Zu 1 - Überprüfung der Verschlüsselung und der Zertifikatskette
Überprüfen Sie stets den Sicherheitsstatus von Webseiten, auf denen Sie persönliche Daten eingeben. Achten Sie bitte darauf, dass die Webadresse mit „https“ beginnt. Neben dem https ist ein Schloss-Symbol in der Regel ein Indiz für gesicherte Seiten, die die Daten verschlüsselt übertragen. Unsere Web-Zertifikate für eine sichere Kommunikation werden über den “Verein zur Förderung eines Deutschen Forschungsnetzes” (DFN-Verein) bzw. über die „GEANT Vereniging“ (Internet-Verbindungsnetzwerk der europäischen Forschung) ausgestellt. Aber auch Web-Zertifikate sind nicht vor Fälschungen gefeit, daher empfiehlt sich hier die Vertrauenswürdigkeit der Webseite durch die Überprüfung der Zertifikatskette näher zu untersuchen. Ein Klick auf das Schloss-Symbol liefert erste Details über die Verifizierungsform.
Dazu kommt der Aspekt, dass auch Web-Adressen mit darstellungsähnlichen Sonderzeichen (beispielsweise https://www.tu-dortmυnd.de) mit einem Schloss-Symbol (per Let’s Encrypt) versehen werden können, so dass Web-Adressen letztendlich nur per Zertifikatskette identifizierbar sind.
Eine Anleitung zur jeweiliegen Vorgehensweise im Webbrowser Ihrer Wahl stellt Ihnen das SIC auf folgender Seite zur Verfügung:
TU-Seiten auf Echtheit überprüfen
Manche Browser wie Firefox prüfen die Gültigkeit des Zertifikats anhand der Zertifikatshierarchie und geben eine entsprechende Meldung zurück (“Verifiziert durch ….”).
Bitte nehmen Sie sich die Zeit, um sich mit den hier zur Verfügung gestellten Informationen und Dokumenten vertraut zu machen. Weitereführende Informationen zur Sicherheit durch Zertifikate finden Sie auf den Webseiten zu Verschlüsselung und Zertifikaten des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Zu 2 - Überprüfen der Webadresse (URL)
Achten Sie auf den „Wer-Bereich“ innerhalb der URL, bevor Sie vertrauliche Daten wie das Passwort eingeben. Wie Sie gefährliche Links schneller erkennen können, erfahren Sie auf der Seite Was ist Phishing (“Gefährliche Links erkennen”).
Webseiten, die Sie regelmäßig aufrufen, sollten Sie in Ihrem Browser als Lesezeichen oder Favorit hinterlegen. Geben Sie vertrauliche Daten nicht auf Webseiten ein, die Sie über einen Link in einer E-Mail oder einem PDF erreicht haben.
Zu 3 - Speichern von persönlichen LogIn-Daten
Das Speichern von persönlichen Zugangsdaten in Webseiten oder in Browsern birgt grundsätzlich das Risiko, dass diese Daten relativ einfach durch Schadsoftware extrahiert und somit von einem Angreifer missbraucht werden könnten.
Insofern sind die besonderen Anforderungen des BSI an das integrierte Kennwortmanagement eines Browsers stets zu beachten, bevor es in der Praxis zum Einsatz kommt. Als Mindestmaß an Schutz muss unter anderem sichergestellt sein, dass auf die im Kennwortmanager gespeicherten Passwörter nur nach Eingabe eines Master-Kennworts zugegriffen werden kann. Welche weiteren Mindestanforderungen an einen Webbrowser und an einen Passwort-Manager gestellt werden, können gerne im BSI Grundschutzkompendium zum Thema „Webbrowser (APP.1.2)” nachgelesen werden.
Auf der anderen Seite weist das SIC des ITMC auf die sinnvolle Nutzung des Passwortmanagers KeePassXC hin, der Out-of-the-box eine Browserintegration enthält und folgendes Szenario begünstigt: Speichert darin ein User sein persönliches Kennwort für die SSO-Login-Seite der TU-Dortmund, hat er die Gewissheit, dass es sich um eine bereits besuchte, vertrauenswürdige Seite handelt, wenn bei wiederholtem Besuch der gleichen Webseite die gespeicherten Credentials präsentiert werden. Geschieht dies nicht, ist dies ein Indiz dafür, dass es sich bei der besuchten Seite nicht um die bekannte adressierte Seite handelt.
Zu 4 - Beachten Sie die Passwortqualität
Achten Sie bei der Erstellung eines Passworts für den Uni-Account besonders auf eine gute Passwortqualität, weil mit einem freigeschalteten UniAccount mehrere und sensible Dienste nutzbar sind. Dafür ist vor allem die Passwortlänge und die Komplexität entscheidend:
- Passwörter sollten möglichst lang und schwer zu erraten sein. Das bedeutet, starke Passwörter enthalten mindestens 8, besser 12 Zeichen und setzen sich aus Klein-, Großbuchstaben, Ziffern und Sonderzeichen zusammen. Je länger und komplexer ein Passwort ist, desto schwieriger ist seine Entschlüsselung.
- Benutzen Sie keine Wörter aus dem Wörterbuch
- Verwenden Sie keine einheitlichen Passwörter für mehrere Dienste.
- Bei jeglichem Verdacht auf einen Passwort-Klau, ändern Sie umgehend Ihr Passwort. Ebenso in Zweifelsfällen, dass Ihr PC infiziert sein könnte.