多くのユーザーがパスワードを変更する可能性は低いため、パスワードを設定してユーザー ログインを一括作成する場合、情報をどのように配布しますか?
当校の生徒には、登録後にユーザー名とパスワードが自動的に割り当てられます。ユーザー名とパスワードの大きなリストを印刷し、バインダーで保管している学校もあると知っています (おそらく、担任教師が生徒のログイン情報を配布しているのでしょう)。 [はい、ユーザーが独自のパスワードを作成できる必要があることはわかっています。これまで、それを実現するのは困難でした。また、残念ながら、技術的または社会的に状況を簡単に変更できるかどうかはわかりません。言うまでもなく、学生の中にはコンピューターをあまり使用しない人もおり、新しいパスワードを設定する機会がないため、ユーザー名 (難しくはありません) を判別してログインできる人に対してアカウントが脆弱な状態になっています。]
これらはセキュリティの高いパスワードではないことは承知していますが、安全に保ちたいと思っています。また、スタッフから「このアカウントはいつ作成されますか?」(学生の登録が適切に完了してから数時間後です)、パスワードは何ですか (すぐには思い出せません) と尋ねられることもわかりました。それほど安全でなければ、新しいパスワードを秘書に電子メールで送信して渡すのがよいでしょう (さらに言えば、年度初めにリスト全体を渡すのもよいでしょう)。暗号化を使用するつもりですが、オフィス スタッフの技術力は多岐にわたるため、ファイルの復号方法を説明するのは気が進みません。印刷された形式で情報を配布するのは安全ではなく、リストを 12 のサイトに配布する必要があるため、あまりしたくありません。スタッフがログインして学生を検索できるシステムはありますが、自動システムがアカウントを作成したかどうかはわかりません。
ログイン情報を責任を持って配布する方法について何か提案はありますか?
答え1
キー配布の問題を調べてみるといいかもしれません (Google で多くの情報が見つかります)。あなたが概説した問題は、多くの理論的および実用的な暗号化の基本となるからです。一般に、ユーザー名は秘密とは見なされません。多くのサイトでは、ユーザー名は電子メール アドレスで構成され、多くの学術機関では、一意性のために学生のイニシャルに整数を末尾に付けたものです。これにより、ユーザー名は簡単に見つけられる傾向があります。実際、一部の学術機関では、学生を指すためにユーザー名を積極的かつ公に使用しています。このタイプのセキュリティでは、もちろんパスワードが最も重要です。パスワードは初期値に設定する必要があります (最初の登録後など、制御された状況で学生が初期パスワードを入力することを保証できる場合を除く)。また、最初のログイン時に学生がパスワードを変更する必要があります。これは強制する必要があります。そうしないと、パスワードがすでに侵害されているかどうかを知る方法がありません。学生が正常にログインしてパスワードを変更した場合、パスワードが以前に読み取られたかどうかは関係ありません。パスワードはすでに変更されているからです。学生がログインできない場合は、パスワードが漏洩している可能性があり、その場合は検出可能です。これは、銀行がクレジットカードの PIN を発行する際に使用する基本的な方法と同じですが、ほとんどの人は送られてきた PIN を変更することはありません。
学生がパスワードを変更するために少なくとも 1 回はログオンできるようにすることが重要です。たとえば、タイムテーブルなどを電子メールで送信したり (電子メールがシステム アカウントにリンクされている場合)、ファイルをユーザー エリアにコピーしたりします。
パスワードはスタッフに教えてはいけません。これはサイト全体で強制されるべきです。実際、学生以外の誰もパスワードを知るべきではありません。
初期パスワードの配布については、各学生に手紙を印刷してそれを集めるように依頼するか (ただし、これにはかなりの時間がかかります)、チューターやメンターに配布するか (封印します。セキュリティは提供されませんが、パスワードの変更を強制することで、パスワードが複製されていないことが保証されます)、または住所に郵送することができます。実際のところ、私はパスワードのリストを印刷することは決してしません。
答え2
あなたが住んでいる州はわかりませんが、公立学校についておっしゃっているのであれば、私たちの住んでいる州では、州の監査人からパスワードを変更するよう指示がありました。とにかく、それが私に与えられた要件でした。
私たちの場合、複雑さの要件と経年変化の要件は最小限に抑える必要がありました。
すべて Active Directory で設定されており、初回ログイン時にパスワードの変更を強制するように設定したり、パスワードの変更間隔 (私たちの場合は 3 か月) を設定したりできます。私たちの場合の複雑さは、過去 3 回使用したパスワードと同じパスワードは使用できない、パスワードに名前やユーザー名を含めることはできない、数字/句読点/大文字/小文字の組み合わせ (3 つの組み合わせ) が必要である、などでした。
この方法により、ユーザーがパスワードを変更する必要がある場合、それを一般的なパスワード (たとえば、Resetme54321) に変更するだけで、そのパスワードを使用して初めてログインするときに、パスワードの変更を求めるプロンプトが表示されます。
私たちには従うべき方針もありますが、教師は従いません想定パスワードを教えることは義務付けられています (理由によっては教えなければならないこともありますが、ここでは詳しく述べません)。しかし、ジョニーのアカウントが共有にアクセスしたり、本来あるべきでない場所を覗き見したりするために使われた場合、ジョニーは校長に呼び出されるということが明確にされています...または、私たちは明確にしようとしています。教師もパスワードを知っている場合、そのアカウントにアクセスできたため、その教師も問題に巻き込まれる可能性があります。したがって、ジョニーがポルノサイトや爆弾製造材料をオンラインで閲覧しているのが見つかった場合...そのアカウント情報を持っている人は誰でも容疑者です。
繰り返しになりますが、あなたの具体的な状況はわかりませんが、公立学校システムに属していて、教育局が監査員をシステム検査に派遣している場合は、監査を受ける前に監査員に要件を確認するか、州の IU に相当する機関に確認することをお勧めします (中間ユニット...ペンシルベニア州の場合、地域の学校に技術や州のサービスを提供するなどの業務を行います。トレーニング。この近くにある機関はソフトウェア ライセンスの販売を行っています。コンサルティング、サーバー メンテナンス、ホスティング...ペンシルバニア中間ユニットを Google で検索すると、さまざまな機関が提供するサービスの例を確認できます)。州によっておそらく業務内容は異なります。
答え3
同僚は、資格情報のリストを暗号化された PDF ファイルに出力することを勧めました。これは非常に理にかなっていると思います。そうすれば、各学校の校長にパスワードを伝えるだけで済み、校長はそれをスタッフと共有でき、誰かがその文書を開くと、自動的に暗号化を解除するためのパスワードの入力が求められるからです。
スタッフが文書を印刷できないようにすることもできますが、そうすると多くの人が不満を抱き、実際の利益は得られないと思われます。