Cuando crea inicios de sesión de usuarios de forma masiva, con contraseñas establecidas, ya que es poco probable que muchos usuarios cambien sus contraseñas, ¿cómo se difunde la información?
A los estudiantes de nuestra división escolar se les asigna automáticamente un nombre de usuario y contraseña después de registrarse. Sé que algunas escuelas imprimen una lista grande de nombres de usuarios y contraseñas y los guardan en una carpeta (y, presumiblemente, los maestros distribuyen la información de inicio de sesión de los estudiantes). [Sí, sé que los usuarios deberían poder crear sus propias contraseñas. Hasta ahora ha sido insostenible lograr que eso funcione y, desafortunadamente, no estoy seguro de cuán fácilmente podríamos cambiar las cosas, tecnológica o socialmente, sin mencionar que algunos de los estudiantes usan computadoras con poca frecuencia y no tienen una buena oportunidad de establecer una nueva contraseña, lo que deja su cuenta vulnerable a cualquiera que pueda determinar su nombre de usuario (no es difícil) e iniciar sesión.]
Si bien sé que estas no son contraseñas de alta seguridad, me gustaría mantenerlas seguras. También descubrí que los miembros del personal preguntan: "¿Cuándo se creará esta cuenta?" (unas horas después de que el estudiante esté registrado correctamente, gracias) y cuál es la contraseña (no lo sé en lo más alto de mi cabeza). Si no fuera tan inseguro, sería bueno enviar por correo electrónico a las secretarias las nuevas contraseñas para transmitirlas (y listas completas a principios de año, para el caso). Usaría cifrado, pero, como la capacidad técnica del personal de la oficina abarca toda la gama, detesto tratar de explicar cómo descifrar el archivo. Realmente no quiero distribuir información en forma impresa, ya que es insegura y las listas tendrían que llegar a una docena de sitios. Tenemos un sistema en el que el personal puede iniciar sesión para buscar estudiantes, pero no sabe con certeza si el sistema automatizado ha creado la cuenta.
¿Hay alguna sugerencia sobre cómo distribuir responsablemente la información de inicio de sesión?
Respuesta1
Es posible que desee buscar el problema de distribución de claves (Google revela mucha información), ya que los problemas que ha descrito son fundamentales para gran parte de la criptografía teórica y práctica. Generalmente el nombre de usuario no se considera secreto; para muchos sitios consiste en una dirección de correo electrónico, y para muchos establecimientos académicos consiste en las iniciales de un estudiante con el sufijo de un número entero para mayor singularidad. Esto tiende a hacer que los nombres de usuario sean fáciles de encontrar. De hecho, algunos establecimientos académicos los utilizan activa y públicamente para referirse a los estudiantes. La contraseña es la más importante, por supuesto, en este tipo de seguridad. Debe establecerse en un valor inicial (a menos que pueda garantizar que el estudiante ingresará la contraseña inicial en condiciones controladas, como después del registro inicial), y el estudiante debe cambiarlo al iniciar sesión por primera vez. de lo contrario no hay manera de saber si la contraseña ya ha sido comprometida. Si el estudiante inicia sesión correctamente y cambia la contraseña, no importa si la contraseña se ha leído antes, ya que ahora se ha cambiado. Si el estudiante no puede iniciar sesión, es posible que la contraseña haya sido comprometida y, por lo tanto, será detectable. Este es el mismo método básico que utilizan los bancos para emitir PIN para tarjetas de crédito, aunque la mayoría de las personas no se molestan en cambiar el PIN que les han enviado.
Es importante asegurarse de que los estudiantes inicien sesión al menos una vez para poder cambiar la contraseña, tal vez enviando su horario o algo por correo electrónico (si el correo electrónico está vinculado a la cuenta del sistema), o copiando un archivo al área de usuario.
Nunca se le debe decir al personal la contraseña, y esto debe aplicarse en todo el sitio. De hecho, nadie excepto el estudiante debería conocer la contraseña.
En cuanto a la distribución de la contraseña inicial, podrías imprimir una carta para cada estudiante y pedirles que la recojan (aunque esto llevaría mucho tiempo), distribuirla a tutores o mentores (sellada, aunque no proporciona ninguna seguridad, haciendo cumplir el cambio de contraseña garantizará que la contraseña no haya sido clonada) o publicarla en su dirección. En realidad, no imprimiría una lista de contraseñas en ningún momento.
Respuesta2
No sé en qué estado se encuentra, pero si está hablando de una escuela pública, donde estamos teníamos la directiva de que teníamos que cambiar las contraseñas de los auditores estatales. De todos modos, ese fue el requisito que me dieron.
En nuestro caso, se nos impusieron requisitos mínimos de complejidad y envejecimiento.
Todo se configuró con Active Directory, donde puede configurarlo para forzar un cambio de contraseña en el primer inicio de sesión y cuánto tiempo transcurre entre cambios de contraseña (para nosotros, tres meses). La complejidad para la nuestra fue algo así como no tener la misma contraseña que las tres últimas utilizadas, no puede tener su nombre o nombre de usuario como parte de la contraseña, debe tener una combinación de número/puntuación/mayúscula/minúscula (alguna mezcla de los tres).
De esta manera, cuando los usuarios necesitan cambiar una contraseña, simplemente la cambiamos a algo genérico (Resetme54321, por ejemplo) y luego, la primera vez que inician sesión con ella, les solicita que cambien la contraseña.
También tenemos políticas que se supone deben seguirse; los profesores no lo sonsupuestotener las contraseñas (algunos tienen que tenerlas por ciertas razones que no voy a mencionar) pero está claro... o tratamos de dejar claro... que si la cuenta de Johnny se usa para acceder a un recurso compartido o para hurgar en lugares, es Se supone que Johnny no debe estar presente, pero llaman al director. Si un profesor también tiene la contraseña, también puede tener problemas, ya que tenía acceso a esa cuenta. Entonces, si encontraron a Johnnydoe navegando en sitios pornográficos o material para fabricar bombas en línea... cualquiera con esa información de cuenta es sospechoso.
Nuevamente... no conozco sus circunstancias particulares, pero si trabaja en un sistema de escuelas públicas y su departamento de educación tiene auditores que verifican sus sistemas, es posible que desee verificar con ellos cuáles son sus requisitos antes de ser auditado, o consulte con el equivalente de su estado a una UI (unidad intermedia... para PA, hacen cosas como proporcionar tecnología y servicios estatales a una región de escuelas. Capacitación. Uno cerca de aquí vende licencias de software. Consultas, mantenimiento de servidores, alojamiento... Puede buscar en Google la unidad intermedia de Pensilvania para ver ejemplos de lo que ofrecen las diferentes). Los diferentes estados probablemente hagan cosas diferentes.
Respuesta3
Mi compañero de trabajo recomendó enviar las listas de credenciales a un archivo PDF cifrado. Creo que esto tiene mucho sentido, ya que entonces solo tengo que darle una contraseña al director de cada escuela, él puede compartirla con el personal y, cuando alguien abra el documento, se le pedirá la contraseña para descifrarlo. automáticamente.
Incluso podría lograr que el personal no pudiera imprimir el documento, pero supongo que eso haría que mucha gente se sintiera insatisfecha conmigo y no generaría ningún beneficio real.