![\framebox[\hsize]{\hfill \textbf{Umsetzung} \hfill}](img20.gif){kind=small}
Es sollte selbstverständlich sein, dass alle Rechner erst nach erfolgreicher Authentikation genutzt werden können. Dass die Passwörter nicht aufgeschrieben werden dürfen und die Zettel mit den notierten Passwörtern erst recht nicht an den Monitor geklebt werden sollten, sollte eigentlich nicht erwähnenswert sein -- die Realität belehrt einen jedoch eines Besseren.
Werden die Anwender regelmäßig gezwungen, ihre Passwörter zu ändern, kann zwar einerseits das Risiko durch propagierte Passwörter gemindert werden; andererseits wird gerade dadurch die Bereitschaft, Passwörter aufzuschreiben, gefördert. Anwendern sollte also ein Leitfaden zur Hand gegeben werden, der über die Gefahren einfacher Passwörter aufklärt und Hinweise zur Gestaltung sicherer Passwörter anbietet.296
Der LfD weist darauf hin297, dass auf die ,,Möglichkeit`` der Eintragung von Klartext-Passwörtern in Konfigurationsdateien und Login-Skripten zu verzichten und stattdessen die Eingabe beim Verbindungsaufbau vorzunehmen sei. So sinnvoll dieser Hinweis im Allgemeinen ist, so untauglich ist er in praxi mindestens in folgendem Zusammenhang: Für den Internet-Anschluss der pädagogischen Netze wird i.d.R. ein von der Telekom gesponserter, kostenloser, an die Einwahlnummer des T-Online-Dienstes gebundener ISDN-Anschluss zusammen mit einer Zugangsberechtigung zu T-Online verwendet. I.d.R. ist der Zugang in Schulen so konfiguriert, dass die Anwahl bei Bedarf automatisch geschieht und nach einer gewissen Zeit der Inaktivität die Verbindung automatisch beendet wird. Dazu ist es nun aber bei den meisten Systemen notwendig, das Zugangs-Passwort für den T-Online-Dienst im Klartext anzugeben. Es ist absolut nicht praktikabel, sollte bei jeder Anwahl die Eingabe des Passwortes (durch einen Lehrer?) nötig sein. Ähnliches gilt für den automatisierten eMail-Austausch, wie ihn beispielsweise der Bildungsserver Rheinland-Pfalz, aber auch WiNShuttle u.a., anbieten. eMail sollte mit einer angemessen kleinen Verzögerung nach dem ,,Schreiben`` versandt werden, dazu ist ebenfalls ein automatischer Verbindungsaufbau mit dem Mail-Server des Bildungsservers nötig.
Diese Klartext-Passwörter sind ja auch i.d.R. nicht world-readable, d.h. sie sind nicht für jedermann zugänglich. Bei Routern sind Passwörter ebenso wie bei richtiger Konfiguration von Servern nur dem Super-User zugänglich. Wer also das Passwort für den eMail-Austausch will, muss erst Super-User werden -- und dann gibt es viel interessantere Möglichkeiten. Im ,,Leitfaden zur Absicherung von Rechnersystemen in Netzen`` [DFN-CERT Leitfaden, S. 20] wird deswegen auch nur die besondere Absicherung der Konfigurationsdateien gefordert.
Aus den genannten Gründen sind in Konfigurationsdateien Klartext-Passwörter abgelegt, und zwar genau das Passwort für die Nutzung des kostenlosen T-Online-Accounts und das UUCP-Passwort für den automatischen eMail-Austausch. Die Passwörter sind außerhalb der Schule praktisch wertlos.
Jeder Account ist mit einem Passwort versehen298; Schüler können ihr Passwort nicht selbst wechseln (Begründung in der Projektarbeit [Jonietz 2000]) und haben keine Shell-Zuordnung auf dem Server. Im pädagogischen Netz werden unverschlüsselte Windows-Passwörter übertragen, im administrativen Netz ausschließlich verschlüsselte. Es böte sich an, komplett auf verschlüsselte Passwörter umzustellen, allerdings könnten dann keine älteren Rechner (mit MS-DOS oder MS-Windows 3.11 WfW wie in den Klassenräumen) mehr verwendet werden; also muss darauf geachtet werden, dass für Zugriffe auf sensitive Bereiche des Verwaltungsnetzes andere Passwörter verwendet werden als im pädagogischen Netz.