Abschaffung des Zwangs zur zeitabhängigen Passwortänderung / End to the requirement to change passwords after a set period of time

Das Präsidium der Universität hat den Zwang zur Passwortänderung für den Einheitlichen Mitarbeiter*innen-Account (EMA) nach einem Jahr (oder schon nach 90 Tagen, wenn Zugriff auf SAP besteht) abgeschafft.

Es werden daher zukünftig keine Aufforderungen zur Änderung des Passwortes mehr per E-Mail verschickt und eine Sperrung von Konten nach Fristversäumnis findet nicht mehr statt. Erinnerungen, die vor Umsetzung dieses Beschlusses am 19. Januar 2021 noch verschickt wurden, können ignoriert werden.

Die Änderung wurde möglich, weil die Forderungen nach einer zeitabhängigen Passwortänderung aus nationalen und internationalen Standards gestrichen wurden, zuletzt im Jahr 2020 auch durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), und die Universität daher auch solche Standards nicht mehr einhalten muss. Das BSI empfiehlt jetzt sogar ausdrücklich, auf solche zeitabhängigen Änderungen zu verzichten.

Trotz dieser sicherlich von den meisten als Erleichterung empfundenen Änderung ist es wichtig, auf Passwortsicherheit zu achten.

Jetzt ist der richtige Zeitpunkt, für den EMA noch einmal ein sicheres Passwort zu setzen, das dann länger Bestand haben kann. Prüfen Sie daher bitte, ob Ihr aktuelles Passwort wirklich geeignet ist.

Alle anderen Regeln für den Passwortgebrauch, die Sie in der Informationssicherheitsrichtlinie der Universität in der Maßnahme A.10 finden, behalten ihre Gültigkeit.

Auf eine Regel soll hier besonders hingewiesen werden, weil die Aufhebung des Zwangs zur regelmäßigen Passwortänderung hier zu falschem Umgang und erhöhten Risiken verleiten könnte: EMA-Passwörter dürfen auf keinen Fall zusätzlich für andere Dienste (wie private E-Mail-Konten oder Online-Shops) verwendet werden. Die Unterschiede zwischen EMA-Passwörtern und anderen Passwörtern (und sinnvollerweise überhaupt zwischen Passwörtern für verschiedene Dienste) müssen signifikant sein, insbesondere dürfen keine systematischen Zusammenhänge bestehen, über die aus einem Passwort das andere erschlossen werden könnte.

Außerdem sei darauf hingewiesen, dass Sie jetzt definitiv von der Universität, der Universitätsmedizin Göttingen (UMG) oder der GWDG keine Aufforderungen mehr per E-Mail erhalten, Ihr Passwort zu ändern. Das sollte es Ihnen erleichtern, gefälschte E-Mails mit solchen Aufforderungen (sogenanntes Phishing) als Fälschung zu erkennen. Universität, UMG oder GWDG werden Sie auch nie auffordern, sich über irgendwelche in E-Mails verschickte Links anzumelden, weil angeblich Quota überschritten, Sicherheitsfunktionen verbessert oder Systeme umgestellt wurden oder ähnliches. Solche E-Mails stammen immer von Cyberkriminellen, die Sie verleiten wollen, Ihr Passwort auf einer gefälschten Seite einzugeben und somit den Kriminellen zu verraten.

The Presidential Board of the University has ended the requirement to change passwords for the Einheitliche Mitarbeiteraccount (EMA, staff accounts to access services such as email) after one year (or after 90 days if access to SAP is available).

This means that in the future, no requests to change passwords will be sent by email and accounts will no longer be blocked after missing the deadline. Reminders that were sent before this decision was implemented on 19 January 2021 can be ignored.

This change is possible because the requirement to regularly update your password has been removed from national and international standards, including most recently by the Federal Office for Information Security (BSI) in 2020. The University therefore also no longer has to comply with such standards. In fact, the BSI now explicitly recommends avoiding such regular prompting to change your password.

Despite this change, which I’m sure most people will see as a relief, it is important to pay attention to password security.

Now is the right time to set a secure password for your EMA once again, which can then be kept for longer. For this reason, please check whether your current password is really appropriate.

All other rules for password use remain valid. You can find these in the University’s information security guideline in security measure A.10.

One rule should be particularly pointed out here, because removing the requirement to change passwords regularly could lead to incorrect handling and increasing risks: Under no circumstances may EMA passwords be used for other services (eg private email accounts or online shops). The differences between EMA passwords and other passwords (and, for logical reasons anyway, between passwords for different services) must be significant; in particular, there should be no systematic correlations that could be used to deduce one password from another.

It should also be noted that you will now definitely no longer receive any requests by email from the University, University Medical Center Göttingen (UMG) or the GWDG to change your password. This should make it easier for you to recognise phishing emails (ie scams which induce individuals to reveal personal information), which prompt you to change your password. The University, UMG and GWDG will also never ask you to log in via any links sent in emails for reasons such as: your quota has allegedly been exceeded; security functions have been improved; or systems have been changed. Such emails always come from cyber criminals who want to entice you to enter your details on a fake page and use them for criminal purposes.