Anmeldung mit Benutzerkennung und Kennwort

Bei dieser Anmeldemethode, auch Standardauthentifizierung genannt, gibt der Benutzer seine Benutzerkennung und sein Kennwort an, um sich am System anzumelden. Das System überprüft dann Folgendes:

Nach der Anmeldung zeigt das System unter  System Status das Datum und die Uhrzeit der letzten Anmeldung an. Auf diese Weise kann der Benutzer sicherstellen, dass sich kein anderer Benutzer unter seinem Namen angemeldet hat. In Standardproduktivsystemen können Sie Anmeldedatum und -uhrzeit können nicht ändern. Das System zeichnet Datum und Uhrzeit der Abmeldung nicht auf.

Kennwort-Hash

Um die Sicherheit der Kennwörter zu erhöhen, verschlüsselt das System diese Klartextkennwörter und legt sie nur als Hash-Werte ab. Diese Hash-Werte verwendet das System auch bei der Übertragung von Kennwörtern.

Um auch die Sicherheit der Kennwort-Hash-Werte zu erhöhen, verwendet das System nach SAP NetWeaver 6.40 statt des Kennwort-Hash-Algorithmus MD5 den Algorithmus SHA1. Dadurch können die Systeme sicherere, aber nicht abwärtskompatible Kennwort-Hash-Werte erzeugen, die einen Reverse-Engineering-Angriff erschweren. Um dennoch abwärtskompatible Kennwörter nutzen zu können, erzeugt das System nun standardmäßig zwei Hash-Werte: einen abwärtskompatiblen und einen neuen. Je nach Ihren Sicherheitsanforderungen können sie den Grad der Abwärtskompatibilität mit Profilparameter login/password_downwards_compatibility einstellen. Dann erzeugt das System z.B. nur noch den neuen, nicht abwärtskompatiblen Hash-Wert. Dies wirkt sich auf folgende Elemente aus:

Prinzipiell wirken sich die neuen Hash-Funktionen nach einem Upgrade aber zunächst nicht aus. Der Betrieb des Systems und die Kennwortabfragen laufen wie gewohnt ab. Die Kennwörter neuen Typs lösen nach und nach die Kennwörter alten Typs ab.

Das System kann jederzeit feststellen, ob das aktuelle Benutzerkennwort vom neuen oder alten Hash-Typ ist. Diese Information ist im Benutzerstammsatz hinterlegt. Während der Anmeldung berechnet das System den Kennwort-Hash aus den eingegebenen Daten und berücksichtigt dabei die Informationen aus dem Benutzerstammsatz. Das System entscheidet gemäß den Angaben aus dem Benutzerstammsatz, welchen Teil des eingegebenen Kennworts es auswertet:

Um die Sicherheit Ihrer Systemlandschaft weiter zu erhöhen, unterstützt das System ab SAP NetWeaver 7.0 EhP 2 ein neues Verfahren zur Kennwortablage. In die Darstellung der Kennwort-Hash-Informationen fließen nun mindestens drei Werte ein: der Kennwort-Hash-Wert, der Algorithmus und ein zufallsgenerierter Wert (Salt). Dadurch ist die Ablage unabhängig vom verwendeten Hash-Algorithmus und unterstützt in Zukunft auch völlig neue Algorithmen. Neben den bisherigen Hash-Algorithmen, die mit einem deterministischen Salt arbeiten, stehen im aktuellen Release neue Hash-Algorithmen für Benutzerkennwörter, die einen zufallsgenerierten Salt bei der Berechnung des Kennwort-Hash-Werts verwenden, zur Verfügung. Die Hash-Wert-Berechnung kann mehrfach hintereinander durchgeführt (d.h. iteriert) werden, um so genannte Dictionary- und Brute-Force-Angriffe zu erschweren. Sie verwalten diese Kennwortfunktion mit Profilparameter login/password_hash_algorithm.

Initialkennwort

Wenn Sie einen Benutzerstammsatz anlegen, müssen Sie ein Kennwort vergeben, das nicht nur den internen Anforderungen des Systems, sondern auch Ihren Vorgaben entspricht (siehe Kennwortregeln). Als Administrator brauchen Sie dabei folgende Regeln nicht zu beachten:

Bei der ersten Anmeldung fordert das System den Benutzer auf, dieses Initialkennwort zu ändern. Das neue, vom Benutzer angegebene Kennwort ist das Produktivkennwort.

Kennwortprüfung

Wenn ein Benutzer bei der Kennwortanmeldung falsche oder ungültige Daten eingibt, setzt das System den Falschanmeldezähler des betroffenen Benutzers in dessen Benutzerstammsatz hoch. Auch wenn der Benutzer sein Kennwort ändert, überprüft das System das aktuelle Kennwort und setzt ggf. den Falschanmeldezähler hoch. Die Obergrenze für Falschanmeldungen legen Sie in Profilparameter login/fails_to_user_lock fest. Überschreitet ein Benutzer diese Obergrenze, sperrt ihn das System und zeichnet diesen Vorfall im Security Audit Log und im Systemprotokoll auf.

Wenn ein Benutzer gesperrt ist, bricht das System nachfolgende Kennwortprüfungen sofort ab, ohne eine Aussage über die Korrektheit des Kennworts zu liefern. Wann das System die Sperre aufhebt, legen Sie in Profilparameter login/failed_user_auto_unlock fest. Standardmäßig ist um Mitternacht der Fall. Sobald sich der Benutzer korrekt anmeldet, setzt das System den Falschanmeldezähler wieder zurück und protokolliert dies im Security Audit Log. Der Falschanmeldezähler gilt nur für die Kennwortanmeldung. Aktive Anmeldesperren, also vom Administrator gesetzte Sperren, beachtet das System jedoch auch bei Anmeldung mit Single Sign-On (SSO).

Wenn Sie SAP-GUI-Anmeldung ohne Kennwort verwenden, überprüft das System bei SSO-Anmeldevarianten (z.B. Secure Network Communication, X.509-Zertifikat, Pluggable Authentication Service, Anmeldeticket), ob der Benutzer sein Kennwort ändern muss. Sie können mit Profilparameter login/password_change_for_SSO verschiedene Dialogfenster anzeigen.