Administrator-Passwörter müssen im Notfall und ihrer gleichzeitigen Abwesenheit für andere Verantwortliche zugänglich sein. Die Passwörter aus dezentralen Bereichen könnten in separaten verschlossenen Umschlägen sicher im SCC hinterlegt werden. Die Passwörter im Verantwortungsbereich des SCC werden durch die jeweils verantwortlichen Administratoren entsprechend den SCC Regelungen gesammelt.
Jede Nutzerkennung ist mit einem Passwort zu versehen. Es darf keine Anmeldung unter irgendeiner Nutzerkennung ohne die Eingabe eines Passwortes möglich sein (auch nicht bei "Gast"- oder "Test"-Accounts).
Voreingestellte oder leere Passwörter (z. B. des Herstellers bei Auslieferung von Systemen) müssen durch individuelle und sichere Passwörter ersetzt werden. Dies gilt insbesondere auch für alle privilegierten Konten sowie für alle "Test"- und "Gast"-Accounts mit Nutzerkennungen wie "root", "Administrator", "test", "demo", "guest" usw.
Es sollte, wenn immer möglich, vermieden werden, "Gruppenkennungen" einzurichten, bei der sich mehrere oder alle Mitglieder einer Arbeitsgruppe unter der gleichen Nutzerkennung und mit einem einzigen allen Mitgliedern bekannten Passwort am System anmelden.
Verlässt ein Nutzer die Bauhaus-Universität, so ist - soweit keine besonderen Gründe dagegen sprechen - das Passwort seines Nutzer-Accounts umgehend zu ändern bzw. der Account zu deaktivieren oder zu löschen.
