Когда вы создаете массовые учетные записи пользователей с установленными паролями, так как многие пользователи вряд ли изменят свои пароли, как вы распространяете информацию?
Учащимся нашего школьного подразделения автоматически присваиваются имя пользователя и пароль после регистрации. Я знаю, что некоторые школы распечатывают большой список имен пользователей и паролей и хранят их в папке (и, предположительно, классные руководители передают информацию для входа в систему ученика). [Да, я знаю, что пользователи должны иметь возможность создавать свои собственные пароли. До сих пор было невозможно заставить эту работу работать, и, к сожалению, я не уверен, насколько легко мы могли бы что-то изменить, технологически или социально, не говоря уже о том, что некоторые студенты нечасто используют компьютеры и не имеют хорошей возможности настроить новый пароль, оставляя свою учетную запись уязвимой для всех, кто может определить свое имя пользователя (не сложно) и войти в систему.]
Хотя я знаю, что это небезопасные пароли, я хотел бы сохранить их в безопасности. Я также обнаружил, что сотрудники спрашивают: «Когда будет создана эта учетная запись?» (через несколько часов после того, как студент будет правильно зарегистрирован, спасибо) и какой пароль (я не знаю, в голове). Если бы это было не так небезопасно, было бы неплохо отправить секретарям по электронной почте новые пароли для передачи (и целые списки в начале года, если на то пошло). Я бы использовал шифрование, но, поскольку технические возможности офисного персонала варьируются в широком диапазоне, мне неприятно пытаться объяснить, как расшифровать файл. Я действительно не хочу распространять информацию в печатном виде, так как это небезопасно, и списки должны попасть на дюжину сайтов. У нас есть сотрудники системы, которые могут войти в систему для поиска студентов, но они не знают наверняка, создала ли автоматизированная система учетную запись.
Есть ли предложения, как ответственно распространять информацию для входа?
Возможно, вы захотите найти проблему с распределением ключей (Google предоставляет много информации), поскольку проблемы, которые вы обрисовали в общих чертах, имеют фундаментальное значение для многих теоретических и практических методов криптографии. Обычно имя пользователя не считается секретным; для многих сайтов он состоит из адреса электронной почты, а для многих учебных заведений он состоит из инициалов студента с суффиксом целого числа для уникальности. Это позволяет легко узнать имена пользователей. Действительно, некоторые академические учреждения используют их активно и публично для обозначения студентов. Пароль, конечно же, самый важный в этом виде безопасности. Для него должно быть установлено начальное значение (если вы не можете гарантировать, что начальный пароль будет введен студентом в контролируемых условиях, например, после первоначальной регистрации), и это должно быть изменено студентом при первом входе в систему. Это должно быть принудительно, иначе невозможно будет узнать, был ли пароль уже скомпрометирован. Если студент успешно входит в систему и меняет пароль, не имеет значения, был ли пароль прочитан ранее, поскольку теперь он был изменен. Если учащийся не может войти в систему, возможно, пароль был взломан, и поэтому его можно будет обнаружить. Это тот же самый основной метод, который используют банки для выдачи PIN-кода для кредитных карт, хотя большинство людей не беспокоятся об изменении отправленного им PIN-кода.
Важно убедиться, что учащиеся входят в систему хотя бы один раз, чтобы изменить пароль - возможно, отправив свое расписание или что-то еще по электронной почте (если электронная почта связана с системной учетной записью) или скопировав файл в область пользователя.
Персоналу никогда не следует сообщать пароль, и это должно применяться на всем сайте. Действительно, никто, кроме ученика, не должен знать пароль.
Что касается распространения исходного пароля, вы можете распечатать письмо для каждого ученика и попросить его собрать его (хотя это займет много времени), передать его наставникам или наставникам (запечатано - хотя и не обеспечивает никакой безопасности, при смене пароля убедитесь, что пароль не был клонирован), или отправьте его по их адресу. Я бы никогда не стал распечатывать список паролей.
Мой коллега порекомендовал вывести списки учетных данных в зашифрованный файл PDF. Я думаю, в этом есть большой смысл, так как тогда мне нужно только дать пароль директору в каждой школе, он может поделиться им с сотрудниками, и, когда кто-нибудь откроет документ, им будет предложено ввести пароль для его расшифровки. автоматически.
Я мог бы даже сделать так, чтобы персонал не мог распечатать документ, но я ожидаю, что это сделает меня недовольным многими людьми и не принесет никакой реальной пользы.
Я не знаю, в каком вы штате, но если вы говорите о государственной школе, в которой мы находимся, у нас была директива о смене паролей от государственных аудиторов. Во всяком случае, это было требование, данное мне.
В нашем случае мы предъявляли минимальные требования к сложности и старению.
Все это было настроено с помощью Active Directory, где вы можете настроить принудительную смену пароля при первом входе в систему и как долго между изменениями пароля (для нас три месяца). Сложность для нас заключалась в том, чтобы не использовать тот же пароль, что и последние три, не может содержать ваше имя или имя пользователя как часть пароля, должен содержать сочетание цифр / знаков препинания / заглавных букв / строчных букв (некоторая смесь из трех).
Таким образом, когда пользователям нужно сменить пароль, мы просто меняем его на что-то общее (например, Resetme54321), а затем при первом входе в систему с его помощью он предлагает им изменить пароль.
У нас также есть политика, которой необходимо следовать; учителя не предполагаемый иметь пароли (некоторые должны по определенным причинам, я не буду вдаваться в подробности), но это ясно ... или мы пытаемся прояснить ... что если учетная запись Джонни используется для доступа к общим ресурсам или советов по местам, это Джонни не должен быть дома, и его вызывают к директору. Если у учителя также есть пароль, у него также могут быть проблемы, поскольку у него был доступ к этой учетной записи. Так что, если johnnydoe был найден просмотр порносайтов или изготовления бомб материал в Интернете ... кто с этой информацией счета является подозреваемым.
Опять же ... не знаю ваших конкретных обстоятельств, но если вы работаете в государственной школьной системе и в вашем редакционном отделе есть аудиторы, проверяющие ваши системы, вы можете узнать у них, каковы их требования, прежде чем вы будете проверены, или сверьтесь с эквивалентом IU в вашем штате (промежуточная единица ... для PA, они занимаются такими вещами, как предоставление технических и государственных услуг региону школ. Обучение. Один поблизости занимается продажей лицензий на программное обеспечение. Консультации, обслуживание серверов, хостинг ... Вы можете найти в Google примеры того, что предлагают разные подразделения в Пенсильвании.) В разных штатах, вероятно, действуют разные вещи.