IT-GSHB 2000 - Nutzung des Anmeldepaßwortes unter WfW und Windows

M 4.46 Nutzung des Anmeldepaßwortes unter WfW und Windows 95

Verantwortlich für Initiierung: Administrator

Verantwortlich für Umsetzung: IT-Benutzer

Meldet sich ein neuer Benutzer an einem Rechner unter WfW oder Windows 95 an, wird er gefragt, ob er eine Kennwortliste ([ anmeldename ] .pwl ) unter seinem Anmeldenamen anlegen möchte. In dieser Liste werden dann alle diejenigen Paßwörter festgehalten, die von diesem Benutzer beim Verbinden mit Ressourcen anderer mitgeteilt werden müssen. Dies geschieht allerdings nur dann, wenn dieses "Caching" von Paßwörtern auf diesem Rechner explizit erlaubt ist und der Benutzer es im Einzelfall auch wünscht.

Das Anmeldepaßwort dient einzig und allein dem Schutz dieser Kennwortliste. Nur bei korrekter Eingabe des zum Anmeldenamen gehörigen Paßwortes wird diese entschlüsselt und steht zur Verfügung.

Insbesondere wenn ein WfW- oder Windows 95-Rechner von mehreren Benutzern eingesetzt wird, wird ein Schutz der gespeicherten Kennwörter gegenüber den Benutzern desselben Rechners nur durch ein individuelles Anmeldepaßwort gewährleistet.

Das jeweilige Paßwort ist geeignet auszuwählen, regelmäßig zu wechseln und sicher zu hinterlegen (vgl. M 2.11 Regelung des Paßwortgebrauchs und M 2.22 Hinterlegen des Paßwortes ).

Hinweise:

Werden vom Benutzer keine Paßwörter in der Kennwortliste gespeichert, ist auch kein Anmeldepaßwort unter WfW notwendig. Wird also Paßwort-Caching grundsätzlich vom Administrator mittels ADMINCFG.EXE unter WfW bzw. über die Systemrichtlinien unter Windows 95 deaktiviert, so ist das Anmeldepaßwort überflüssig. Selbst Maskerade auf dem PC kann mit diesem Authentisierungsmechanismus nicht verhindert werden, da jede Kennwortliste umbenannt, der ursprüngliche Anmeldename erneut genutzt und anschließend die ursprüngliche Kennwortliste wieder zurückbenannt werden kann.

Wird allerdings Paßwort-Caching erlaubt und auch genutzt, muß der Administrator mittels ADMINCFG.EXE unter WfW bzw. über die Systemrichtlinien unter Windows 95 die Mindestlänge des Anmeldepaßwortes auf 6 setzen. Damit ist die Eingabe des Paßwortes beim Anmelden unter WfW und Windows 95 obligatorisch und kann nicht deaktiviert werden. In Ausnahmefällen, z. B. wenn der Rechner nur von einem Benutzer genutzt wird und ein ausreichender Zugangsschutz (BIOS-Paßwort, Bildschirmsperre, usw.) besteht, kann das Anmeldepaßwort deaktiviert werden. Eine Deaktivierung ist möglich, wenn die Mindestlänge des Paßwortes auf Null gesetzt wird.

Werden vom Benutzer versehentlich Paßwörter in der Kennwortliste gespeichert, ist die Datei [ anmeldename ] .pwl zu löschen.

Ergänzende Kontrollfragen:

Wird den WfW- bzw. Windows 95 Benutzern mitgeteilt, daß neben dem Paßwortschutz am PC (z. B. BIOS-Paßwort) zusätzlich das Anmeldepaßwort für den Schutz der individuellen Kennwortliste unter WfW bzw. Windows 95 notwendig ist?