CALL-DML-Tabellen kann der Anwender durch Kennwörter gegen unberechtigten Zugriff schützen. Dafür steht das Dienstprogramm SEPA zur Verfügung (siehe Handbuch „ Datenbankbetrieb“).

Für eine kennwortgeschützte Tabelle muss der Anwender bei jeder CALL-DML-Anweisung das entsprechende Kennwort angeben. Bei der Analyse der Anweisung prüft SESAM/SQL dann die Berechtigung des Kennworts.

Zuerst wird eine Tabelle oder ein Ausschnitt aus einer Tabelle (logische Datei) eröffnet, indem ein gültiges Kennwort in der Open-Anweisung angegeben wird.
Überschreitet der Anwender bei einer Open-Anweisung im Dialog die maximal zulässige Anzahl von Kennwortverstößen, so wird er vom System gesperrt. Nur der Systemverwalter kann die Sperre wieder aufheben.

Die Tabelle oder die logische Datei kann nach dem Öffnen mit den CALL-DML-Anweisungen bearbeitet werden, wenn dasselbe Kennwort angegeben wird.
Das Kennwort bestimmt dabei, auf welche Daten mit welcher Zugriffsart zugegriffen werden darf. Wird versucht, auf ein Attribut zuzugreifen, für das keine Berechtigung besteht, dann verhält sich SESAM/SQL, als ob das Attribut in der Datenbank nicht existieren würde und weist die Anweisung mit Status zurück.
CALL-DML-Anweisungen mit ungültigem Kennwort werden ebenfalls mit Status abgewiesen..

SEPA bietet folgende Funktionen:

• Ausführen aller Wartungstätigkeiten am Kennwortkatalog:
  Zugriffsrechte ändern, entziehen oder neu vergeben.

• Ausgeben der Informationen über alle Kennwörter (Name, Zugriffsrechte).

Der Kennwortkatalog einer kennwortgeschützten CALL-DML-Tabelle wird nicht gesondert gesichert.