Upd:Einfuehrung Passwortrichtlinien zum 01.06.2012 / New Authentication Regulations

LRZ aktuell publish at lrz.de
Mo Jun 4 17:20:02 CEST 2012 

 Aenderungen an der Mitteilung: Text auch in Englisch
[English version below]
 
 Mit Wirkung zum 1. Juni 2012 gelten am LRZ Passwortrichtlinien, die
 u.a. vorsehen, dass Passwoerter spaetestens alle 12 Monate geaendert
 werden muessen. Diese Regelung gilt fuer alle Kennungen, die ueber
 Master User vergeben wurden, und fuer alle Kennungen, die an externe
 Studenten vergeben wurden. Wir sind uns bewusst, dass diese Massnahme
 fuer Sie eine gewisse Mehrarbeit bedeutet, halten sie aus
 Sicherheitsgruenden jedoch fuer unbedingt notwendig und setzen dabei
 entsprechende Empfehlungen des BSI (Bundesamt fuer Sicherheit in der
 Informationstechnik) und der IT-Sicherheitsnorm ISO/IEC 27001 um. Die
 ersten Passwoerter werden, je nach Datum der letzten Aenderung, ab
 Februar 2013 verfallen.
 
 Das aktuelle Verfallsdatum Ihres Passworts wird Ihnen ab Mitte Juni in
 den Self Services des Id-Portals (https://idportal.lrz.de) nach Klick
 auf "Person -> Daten anzeigen" oder "Kennung -> Kennungsdaten anzeigen"
 angezeigt. Damit Sie nicht von einem Passwortverfall ueberrascht
 werden, werden wir Sie ausserdem rechtzeitig vorher per Mail daran
 erinnern und zur Passwortaenderung auffordern. Falls Sie die
 Verfallsfrist dennoch versaeumen, ist auch das nicht weiter schlimm.
 Ihre Kennung wird dann lediglich solange gesperrt bis Sie sich ins
 Id-Portal eingeloggt und dort ein neues Passwort gesetzt haben.
 
 Die neuen Passwortrichtlinien sehen des weiteren vor, dass
 Startpasswoerter, die von einem Master User oder vom LRZ gesetzt
 werden, vom jeweiligen Benutzer nochmals geaendert werden muessen. Dies
 gilt sowohl fuer neu angelegte Kennungen als auch fuer existierende
 Kennungen, fuer die ein neues Passwort gesetzt wird. Eine Kennung ist
 also nach einer Passwortsetzung durch einen Master User oder das LRZ
 erst dann nutzbar, wenn das Passwort durch den jeweiligen Benutzer im
 Id-Portal nochmals geaendert wurde. Wir wollen damit sicherstellen,
 dass das Passwort wirklich nur dem betreffenden Benutzer bekannt ist.
 
 Bitte beachten Sie schliesslich, dass die Passwortrichtlinien fuer alle
 LRZ-Kennungen gelten, die direkt vom LRZ vergeben werden, also nicht
 nur fuer persoenliche Kennungen, sondern auch fuer Funktionskennungen.
 Dagegen gelten fuer LRZ-Kennungen, die ueber CampusLMU, TUMonline oder
 Grid-Projekte eingerichtet werden, die Regelungen der jeweiligen
 Quellsysteme.
 
 Den vollstaendigen Text der Passwortrichtlinien finden Sie auf unserer
 Homepage unter http://www.lrz.de/wir/regelwerk/passwortrichtlinien.pdf.
 
 -----------------------------------------------------------------------
 
 [English version:]
 
 Starting on June 1, 2012, new requirements for authentication
 mechanisms are imposed on all users of LRZ accounts. In particular,
 these requirements imply that passwords must be changed at least once
 in 12 months. This regulation applies to all accounts handed out by
 Master Users, as well as accounts provided to external students. We are
 aware that this measure imposes some overhead on users, but believe
 that it is necessary on security grounds, having implemented it based
 on guidelines of BSI (federal agency for information security) and the
 IT security standard ISO/IEC 27001. The date at which password
 invalidation will be initiated (depending on the date of the last
 password change) will be in February 2013.
 
 You will be able to determine the actual invalidation date for your
 password from mid-June onward by logging into the ID portal (https://
 idportal.lrz.de) and selecting the menu item "Person -> view" or
 "Account -> view authorizations". In order to prevent being surprised
 by a password becoming invalid, you will be notified of the need to
 change your password via e-mail. Even if you miss the deadline for the
 password update, this only implies a temporary suspension of your
 account - you will still be able to log in to the ID portal and make
 the password change.
 
 Furthermore, the new regulations for password use also impose the
 requirement that starting passwords provided by Master Users or Project
 Managers must be changed before the account is used, no matter whether
 it is a new account, or an account for which the password was reset.
 Hence, also in this case the password must be set to a new value in the
 ID portal before the account can be used. The intent is to assure that
 the password is known only to the actual user of the account.
 
 Finally, please be aware that these regulations apply for all LRZ
 accounts directly assigned by LRZ; this includes personal accounts as
 well as functional accounts. On the other hand, LRZ accounts
 provisioned via CampusLMU, TUMonline or Grid Projects use their own,
 source-specific regulations.
 
 The complete (German) text of the authentication regulations is
 available on the LRZ web server at http://www.lrz.de/wir/regelwerk/
 passwortrichtlinien.pdf.
 


 Diese Information finden Sie im WWW unter
 http://www.lrz-muenchen.de/aktuell/ali4318/

 Ado Haarer

Mehr Informationen über die Mailingliste aktuell