M 4.15 Gesichertes Login
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Es sollte ein Login-Programm verwendet bzw. Optionen aktiviert werden, so dass die folgenden Maßnahmen durchgeführt werden können:
- Jeder Benutzer muss eine eigene Kennung und ein eigenes Passwort erhalten. Es darf kein Zugang ohne Kennung oder Passwort möglich sein. Als Passwort-Ersatz kann die Authentisierung des Benutzers auch über elektronische Signaturen, Pass-Tickets oder Ähnliches erfolgen.
- Die Anzahl erfolgloser Login-Versuche wird beschränkt. Nach jedem erfolglosen Login-Versuch vergrößert sich die Wartezeit bis zur nächsten Login-Aufforderung. Nach einer bestimmten Anzahl von Fehlversuchen wird die betroffene Benutzer-Kennung und / oder das Terminal gesperrt. Dabei ist zu bedenken, dass dadurch nicht der Administrator ausgesperrt werden darf, es muss ihm an der Konsole eine Zugangsmöglichkeit offen bleiben.
- Der Zeitpunkt des letzten erfolgreichen Logins wird dem Benutzer beim Login gemeldet.
- Erfolglose Login-Versuche werden dem Benutzer beim Login gemeldet. Eventuell sollte diese Meldung bei mehreren darauf folgenden Anmeldungen wiederholt werden.
- Der Zeitpunkt des letzten Logouts wird dem Benutzer beim Login gemeldet. Hierbei wird zwischen Logouts zu einem interaktiven Login und solchen zu einem nicht-interaktiven Login (Logout von Hintergrundprozessen) unterschieden.
- Für das Login über Netze, in denen Passwörter unverschlüsselt übertragen werden, empfiehlt sich die zusätzliche Verwendung von Einmalpasswörtern (siehe auch M 5.34 Einsatz von Einmalpasswörtern).
Spezielle Hinweise zur Absicherung des Login-Vorgangs unter z/OS finden sich in der Maßnahme M 4.213 Absichern des Login-Vorgangs unter z/OS.
Ergänzende Kontrollfragen:
- Sind die Benutzer darauf hingewiesen worden, den Zeitpunkt des letzten erfolgreichen Logins auf Plausibilität zu überprüfen?
- Wie häufig werden erfolglose Login-Versuche dem Benutzer gemeldet?