Alle Schutzmechanismen und Sicherheitsvorkehrungen funktionieren nur, solange sichergestellt ist, daß unter jedem Username tatsächlich nur der betreffende Benutzer arbeitet. Die Usernames sind nicht geheim, sie können jederzeit abgefragt werden (z.B. als Directorynamen oder Mailadressen), der einzige Schlüssel für die Sicherheit ist daher das Passwort.

Organisatorische Regeln:

• Jeder Username soll nur einer Person gehören, sodass Passwörter nie mehreren Personen bekannt sein müssen (Ausnahme: Funktions-Accounts für bestimmte Zwecke oder für anonyme Personengruppen wie z.B. Konferenz-Teilnehmer).
• Passwörter dürfen niemals an andere Personen weiter gegeben werden.
• Wenn eine andere Person (Vertreter/in, Sekretariat etc.) eine Tätigkeit durchführen soll, für die Sie selbst berechtigt sind, dann dürfen Sie dieser Person nicht Ihr Passwort bekannt geben, sondern Sie müssen dafür sorgen, dass diese andere Person die benötigten Rechte erhält (Zugriffs-Rechte, Funktionen etc.). Falls dies technisch nicht möglich ist, dann geben Sie selbst das Login mit Ihrem Username und Passwort ein, ohne dass die andere Person Ihr Passwort sieht, und lassen dann die andere Person die weiteren Eingaben "in Ihrem Namen" durchführen und mit Logout abschließen.
• Das Gleiche gilt auch für den Fall, dass die Hotline oder eine andere ZID-Mitarbeiter/in Ihnen bei einem Problem helfen soll. Auch dem ZID sollen Sie Ihr Passwort nicht bekannt geben. Der ZID wird Sie auch niemals nach Ihrem Passwort fragen. Falls Sie eine solche Frage bekommen, dann kommt sie nicht vom ZID, sondern ist eine gefährliche Fälschung, auf die Sie nicht antworten sollen (siehe Phishing-Gefahren).

Technische Regeln:

• Die Passwörter sollen aus 6 bis 8 Zeichen bestehen, von denen mindestens zwei Buchstaben und mindestens eines kein Buchstabe (also eine Ziffer oder eventuell ein einfaches Sonderzeichen) sein sollen; keine Umlaute wie äöüßàéô etc.; Groß-Klein-Schreibung ist wesentlich; keine ungewöhnlichen Sonderzeichen wie Leerstellen oder Klammeraffen. Am einfachsten ist es, wenn Sie gar keine Sondezeichen und keine Großbuchstaben verwenden, sondern nur eine Kombination von Kleinbuchstaben (ohne Umlaute) und Ziffern.
• Wählen Sie keine Passwörter, die leicht erraten werden können.
  Ihre Initialen, Vor- und Zuname, Instituts- oder Telefonnummer oder der Vorname Ihres Freundes oder Ihrer Freundin sind nicht geeignet. Aber auch andere typische Abkürzungen, Namen, Nummern oder Wörter der deutschen oder englischen Sprache sowie Konbinationen davon sollen nicht verwendet werden. Von Hackern werden nämlich Password-Crack-Programme verwendet, die zwar nicht alle möglichen Kombinationen, aber viele Tausend solche typische Passwörter ausprobieren.
  Passwörter wie hubert49, eingang1 oder abc123 werden innerhalb von wenigen Sekunden geknackt.
  Günstig, weil nur für Sie selbst leicht zu merken, sind z.B. die Anfangsbuchstaben eines Satzes. So könnte Prinz Hamlet etwa aus der Frage "To be or not to be" das für Fremde kaum zu erratende Paßwort "2bon2b" bilden.
• Schreiben Sie Passwörter niemals auf, weder auf Papier noch in Dateien, sondern behalten Sie sie nur in Ihrem Kopf.
  Falls Sie Ihr Passwort vergessen, kann Ihnen jederzeit ein neues Passwort gesetzt werden.
• Ändern Sie Ihr Passwort mindestens einmal pro Jahr sowie immer sofort, wenn Sie den Vedacht haben, dass eine andere Person Ihre Passwort erfahren oder erraten haben könnte.
• Behandeln Sie Ihr Passwort so sorgfältig wie Ihren Auto- oder Wohnungsschlüssel, und lassen Sie diesen Schlüssel nie "stecken", d.h. wann immer Sie Ihren Bildschirm verlassen, auch nur für kurz, machen Sie ein Logout bzw. eine Bildschirmsperre mit Passwort-Eingabe.

Wenn etwas passiert ist:

• Wenn Sie einen Verdacht haben, dass jemand in Ihrem Account "eingebrochen" ist oder Ihren Account missbraucht hat, dann informieren Sie bitte immer so rasch wie möglich (z.B. telefonisch) den ZID, damit wir eventuelle Folgeschäden so rasch wie möglich verhindern oder vermindern können!
• Verdächtige Anzeichen sind z.B., dass eine E-Mail als gelesen markiert ist, die sie noch nicht gelesen haben, oder dass Sie eine abgesendete E-Mail sehen, die Sie nicht selbst geschrieben haben, oder dass sonst irgend etwas anders aussieht oder anders eingestellt ist oder anders reagiert als es Ihrer normalen Arbeitsweise entspricht.

• Sagen Sie nicht, Ihre Daten seien unwichtig und müssten nicht besonders geschützt sein. Sie schützen mit Ihrem Username nämlich nicht nur Ihre eigenen Daten, sondern erstens auch die gesamte auf den Rechnern verfügbare Software und zweitens den gesamten Rechner und alle anderen über das BOKU-Netz erreichbaren Rechner und Netzdienste gegen Missbrauch.
• Ein einziger schlecht geschützter Username kann schon von Hackern als "Eingangstor" für weiter reichende Einbrüche genützt werden. (Dies ist leider auch schon tatsächlich an der BOKU vorgekommen.)
• Eine einzige nicht-wissenschaftliche Software-Verwendung kann schon zu einem Wegfall unserer Lizenzermäßigungen und zu entsprechend hohen Schadenersaetzforderungen der Hersteller führen.
• Wenn ein Hacker Ihren Account dazu missbraucht, Millionen von Spam-Mails zu versenden, dann landet die BOKU auf diversen "schwarzen Listen" und alle von BOKU-Angehörigen ausgesendeten E-Mails werden auf vielen Mail-Servern in aller Welt automatisch ungelesen als Spam gelöscht, oft sogar mehrere Tage lang!

Bitte helfen Sie mit, den ungestörten und sicheren Betrieb der Rechner, der Server und des Netzes auf der BOKU aufrecht zu erhalten.