Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Kennwortschutz

Der Kennwortschutz ist das derzeit gebräuchlichste Authentisierungsverfahren.

Dabei wird mit dem Kommando MODIFY-USER-PROTECTION ein bis zu 8 bzw. 32 Byte langes Kennwort für die Benutzerkennung vereinbart.

Durch organisatorische Maßnahmen kann der Kennwortschutz weiter verbessert werden. Dazu legt die Benutzerverwaltung mit dem Kommando MODIFY-LOGON-PROTECTION für den Benutzer explizit fest, welche Vorgaben er zwingend beachten muss:

  • minimale Länge eines Kennwortes

  • Komplexität eines Kennwortes

  • Lebensdauer eines Kennwortes

  • Zeitraum, in dem ein Kennwort nicht erneut verwendet werden darf (Kennwortsperre)

Minimale Länge eines Kennwortes

Die Benutzerverwaltung kann für jede Benutzerkennung eine minimale Länge bestimmen, die bei der Festlegung oder Änderung des Kennworts dieser Kennung eingehalten werden muss. Dadurch kann verhindert werden, dass

  • eine Benutzerkennung ungesichert ist, weil überhaupt kein Kennwort definiert ist

  • eine Benutzerkennung ungenügend gesichert ist, weil ein zu kurzes Kennwort definiert worden ist

Komplexität eines Kennwortes

Für jede Benutzerkennung kann festgelegt werden, nach welchen Vorgaben die Wahl eines Kennworts zu erfolgen hat. Damit soll verhindert werden, dass ein Benutzer Kennworte festlegt, die leicht zu merken oder zu erraten sind, wie z.B. der eigene Vorname.

Für die Kennwortvergabe einer Benutzerkennung kann definiert werden, dass

  • nur höchstens zwei aufeinander folgende Zeichen gleich sein dürfen

  • mindestens ein Buchstabe und eine Ziffer Bestandteil des Kennworts sein müssen

  • mindestens ein Buchstabe, eine Ziffer und ein Sonderzeichen im Kennwort enthalten sein müssen

Lebensdauer eines Kennworts

Durch regelmäßiges Wechseln des Kennwortes wird die Wahrscheinlichkeit verringert, dass Unbefugte durch systematisches Ausprobieren von Kennwörtern das Kennwort erfahren. Außerdem wird so der Schaden begrenzt, wenn Unbefugte unbemerkt Kenntnis vom Kennwort erlangt haben.

Der Eigentümer einer Benutzerkennung kann dann sein Kennwort jederzeit ändern, wenn ihm dies für seine Kennung erlaubt ist. Sofern beim Einrichten oder Modifizieren festgelegt wird, dass PASSWORD-MANAGEMENT=*BY-ADMINISTRATOR gilt, kann nur der Systemverwalter ein Kennwort ändern. Generell müssen bei der Festlegung eines Kennworts alle Regeln beachtet werden, die für die Bildung von Kennwörtern gelten. Vor Ablauf der Lebensdauer eines Kennworts erhält der Benutzer vom Betriebssystem eine Warnung. Wird das Kennwort bis zum festgelegten Zeitpunkt nicht geändert, sperrt das Betriebssystem den Zugriff auf die Benutzerkennung.

Falls die Benutzerkennung mit /SET-LOGON-PROTECTION ..., UNLOCK-EXPIRATION=*BY-ADMINISTRATOR-ONLY eingerichtet wurde, kann dann nur der systemglobale Benutzerverwalter den Zugang wieder zulassen.

Ist die Benutzerkennung mit /SET-LOGON-PROTECTION ..., UNLOCK-EXPIRATION= *BY-USER eingerichtet, wird dem Anwender bei Angabe des verfallenen Kennwortes ein eingeschränkter Dialog-Zugang gewährt. Dabei hat der Anwender nur die Möglichkeit ein neues Kennwort zu vereinbaren oder die Dialog-Task wieder zu beenden.

Verbot der Kennwort-Neuvergabe für einen bestimmten Zeitraum (Kennwortsperre)

Das System unterstützt den Kennungsinhaber bei der Wahl eines neuen Kennwortes, indem in einem definierten Zeitraum die erneute Vergabe eines bereits verwendeten Kennwortes verbietet. Damit wird der Missbrauch von Kennwörtern, die Unbefugten bekannt wurden, weiter eingeschränkt.

Der Zeitraum, in dem ein bereits benutztes Kennwort gesperrt ist, ist einstellbar.

Außerdem kann die Häufigkeit von Kennwortänderungen eingeschränkt werden.

Lange Kennwörter

Der Benutzer kann ein „langes Kennwort“ zum Schutz seiner Benutzerkennung vereinbaren. Ein „langes Kennwort“ ist mindestens 9 und maximal 32 Zeichen lang. Damit kann der Benutzer Kennwörter vereinbaren, die leicht zu merken sind und mit der großen Variationsmöglichkeit dem Datenschutz gerecht werden.

Bei der Eingabe eines 9 bis 32 Zeichen langen Kennwortes konvertiert ein Hash-Algorithmus das „lange“ Kennwort in ein 8 Byte langes Kennwort. Das konvertierte, 8 Byte lange Kennwort wird im System zur Kennwortüberprüfung gespeichert (ggf. verschlüsselt).

Folgende Kommandos unterstützen die Eingabe „langer Kennwörter“:

  • ADD-USER

  • ENTER-JOB und ENTER-PROCEDURE

  • MODIFY-LOGON-PROTECTION

  • MODIFY-USER-ATTRIBUTES

  • MODIFY-USER-PROTECTION

  • PRINT-DOCUMENT

  • SET-LOGON-PARAMETERS

  • SET-LOGON-PROTECTION

  • SET-PERSONAL-ATTRIBUTES

  • SET-RFA-CONNECTION

  • TRANSFER-FILE

Wird die Eingabe „langer Kennwörter“ nicht unterstützt, wie z.B. bei
Programmschnittstellen, muss der Benutzer das konvertierte, 8 Byte lange Kennwort ermitteln und eingeben. Mögliche Vorgehensweisen sind:

  • Das Subsystem SDF-P ist im lokalen System verfügbar:
    Das konvertierte Kennwort kann mit der Builtin-Funktion HASH-STRING ermittelt werden. Der Aufruf erfolgt mit den Parametern STRING=’<langes_kennwort>’ und LENGTH=8 (siehe auch Handbuch „SDF-P“ [24]). Da der Parameter STRING im Gegensatz zur Kennwortschnittstelle Groß-/Kleinschreibung unterscheidet, muss das „lange“ Kennwort in Großbuchstaben angegeben werden!
    Bei Kommandos und Anweisungen (SDF-Schnittstelle) kann mit Ausdrucksersetzung gearbeitet werden, d.h. für den Kennwort-Operanden wird z.B.
    PASSWORD=’&(HASH-STRING(STRING=’langes_kennwort’,LENGTH=8))’ eingegeben.
    Falls die Eingabe nicht über die SDF-Schnittstelle erfolgt, wird einer S-Variablen das Ergebnis der Builtin-Funktion zugewiesen und der Variablenwert mit SHOW-VARIABLE als X-Literal (da die konvertierte Zeichenfolge auch nicht eingebbare Zeichen enthalten kann) ausgegeben. Der Variablenwert wird an der Eingabeschnittstelle als Kennwort (<x-string>) eingegeben.

  • Das Subsystem SDF-P ist im lokalen System nicht verfügbar:

    • Besteht Zugang zu einem anderen System, in dem SDF-P verfügbar ist, kann das konvertierte, 8 Byte lange Kennwort, wie zuvor beschrieben, über die Builtin-Funktion HASH-STRING ermittelt werden.

    • Das konvertierte, 8 Byte lange Kennwort kann bei der Systembetreuung erfragt werden (wenn im System nicht verschlüsselt wird).

    • Die betroffene Benutzerkennung wird kurzfristig mit einem „kurzen“ Kennwort geschützt.

Bei Einsatz von SECOS können für Kennwörter weitere Sicherheitsüberprüfungen benutzerspezifisch vereinbart werden. Die Default-Werte für die Minimal-Länge und die Minimal-Komplexität eines Kennworts sind mit *NONE (keine Überprüfung dieser Attribute) eingestellt. Die Änderung dieser Attribute auf Maximalwerte kann unter Umständen dazu führen, dass das aus einem „langen“ Kennwort konvertierte, 8 Byte lange Kennwort die Anforderungen nicht erfüllt. Deshalb sollte bei der Minimal-Länge der Wert 6 und bei der Minimal-Komplexität der Wert 2 nicht überschritten werden.

Powered by Atlassian Confluence and Scroll Viewport.