Quando você cria logins de usuários em massa, com senhas definidas, já que é improvável que muitos usuários alterem suas senhas, como você divulga as informações?
Os alunos da nossa divisão escolar recebem automaticamente um nome de usuário e uma senha após o registro. Eu sei que algumas escolas imprimem uma grande lista de nomes de usuários e senhas e os guardam em uma pasta (e, presumivelmente, os professores da sala de aula distribuem as informações de login dos alunos). [Sim, eu sei que os usuários devem poder criar suas próprias senhas. Até agora tem sido insustentável fazer com que isso funcione e, infelizmente, não tenho a certeza de quão facilmente poderíamos mudar as coisas, tecnológica ou socialmente, para não mencionar que alguns dos alunos usam computadores com pouca frequência e não têm uma boa oportunidade para definir uma nova senha, deixando sua conta vulnerável a qualquer pessoa que possa determinar seu nome de usuário (não difícil) e fazer login.]
Embora eu saiba que essas não são senhas de alta segurança, gostaria de mantê-las seguras. Também descobri que os membros da equipe perguntam: “Quando esta conta será criada?” (algumas horas após o aluno estar devidamente matriculado, obrigado) e qual a senha (não sei de cara). Se não fosse tão inseguro, seria bom enviar por e-mail às secretárias as novas senhas para repassar (e listas inteiras no início do ano, aliás). Eu usaria criptografia, mas, como a habilidade técnica do pessoal do escritório varia, detesto tentar explicar como descriptografar o arquivo. Eu realmente não quero distribuir informações em formato impresso, pois é inseguro e as listas precisariam chegar a uma dúzia de sites. Temos um sistema no qual a equipe pode fazer login para procurar alunos, mas não sabe ao certo se o sistema automatizado criou a conta.
Há alguma sugestão sobre como distribuir informações de login de maneira responsável?
Responder1
Você pode querer pesquisar o problema de distribuição de chaves (o Google revela muitas informações), pois os problemas que você descreveu são fundamentais para muita criptografia teórica e prática. Geralmente o nome de usuário não é considerado secreto; para muitos sites, consiste em um endereço de e-mail e, para muitos estabelecimentos acadêmicos, consiste nas iniciais do aluno com o sufixo de um número inteiro para exclusividade. Isso tende a tornar os nomes de usuário fáceis de descobrir. Na verdade, alguns estabelecimentos académicos utilizam-nos activa e publicamente para se referirem aos estudantes. A senha é o mais importante, claro, nesse tipo de segurança. Deve ser definido com um valor inicial (a menos que você possa garantir que a senha inicial será inserida pelo aluno em condições controladas, como após o registro inicial), e isso deve ser alterado pelo aluno no primeiro login. aplicada, caso contrário não há como saber se a senha já foi comprometida. Se o aluno efetuar login com sucesso e alterar a senha, não importa se a senha já foi lida antes, pois agora foi alterada. Se o aluno não conseguir fazer login, a senha pode ter sido comprometida e, portanto, isso será detectável. Este é o mesmo método básico que os bancos usam para emitir PINs para cartões de crédito – embora a maioria das pessoas não se preocupe em alterar o PIN que lhes foi enviado.
É importante garantir que os alunos façam login pelo menos uma vez, para alterar a senha - talvez enviando seu horário ou algo assim por e-mail (se o e-mail estiver vinculado à conta do sistema), ou copiando um arquivo para a área do usuário.
A senha nunca deve ser informada à equipe e ela deve ser aplicada em todo o site. Na verdade, ninguém, exceto o aluno, deve saber a senha.
Quanto à distribuição da senha inicial, você poderia imprimir uma carta para cada aluno e pedir que a coletassem (embora isso levasse muito tempo), distribuí-la aos tutores ou mentores (lacrada - embora não forneça nenhuma segurança, obrigando a alteração da senha garantirá que a senha não foi clonada) ou postá-la em seu endereço. Eu não imprimiria uma lista de senhas em nenhum momento, na verdade.
Responder2
Não sei em que estado você está, mas se você está falando de uma escola pública, onde estamos, tínhamos a diretriz de que precisávamos alterar as senhas dos auditores estaduais. Esse foi o requisito que me foi dado, de qualquer maneira.
No nosso caso, tínhamos requisitos mínimos de complexidade e requisitos de envelhecimento impostos a nós.
Tudo foi configurado com o Active Directory, onde você pode configurá-lo para forçar uma alteração de senha no primeiro login e quanto tempo entre as alterações de senha (para nós, três meses). A complexidade para a nossa era algo como não ter a mesma senha das três últimas usadas, não pode ter seu nome ou nome de usuário como parte da senha, deve ter uma combinação de número/pontuação/maiúsculas/minúsculas (alguma mistura dos três).
Dessa forma, quando os usuários precisam alterar a senha, basta alterá-la para algo genérico (Resetme54321, por exemplo) e na primeira vez que fizerem login com ela, será solicitado que alterem a senha.
Também temos políticas que deveriam ser seguidas; os professores não sãosupostoter as senhas (alguns precisam por certos motivos que não vou abordar), mas está claro... ou tentamos deixar claro... que se a conta de Johnny for usada para compartilhar ou cutucar lugares, é não deveria estar, Johnny é chamado ao diretor. Se um professor também tiver a senha, ele também poderá ter problemas, pois teve acesso a essa conta. Então, se Johnnydoe foi encontrado navegando em sites pornográficos ou material de fabricação de bombas online... qualquer pessoa com essas informações de conta é suspeita.
Novamente... não conheço suas circunstâncias específicas, mas se você trabalha em um sistema escolar público e seu departamento de educação tem auditores verificando seus sistemas, você pode querer verificar com eles quais são seus requisitos antes de ser auditado, ou verifique com o equivalente do seu estado a uma UI (unidade intermediária ... para PA, eles fazem coisas como fornecer tecnologia e serviços estaduais para uma região de escolas. Treinamento. Um aqui perto faz vendas de licenciamento de software. Consulta, manutenção de servidor, hospedagem.. .Você pode pesquisar no Google por unidades intermediárias da Pensilvânia para obter exemplos do que as diferentes oferecem.) Estados diferentes provavelmente fazem coisas diferentes.
Responder3
Meu colega de trabalho recomendou a saída das listas de credenciais em um arquivo PDF criptografado. Acho que isso faz muito sentido, pois assim só tenho que passar uma senha para o diretor de cada escola, ele pode compartilhar com os funcionários e, quando alguém abrir o documento, será solicitada a senha para descriptografá-lo. automaticamente.
Eu poderia até fazer com que o pessoal não pudesse imprimir o documento, mas espero que isso deixaria muitas pessoas insatisfeitas comigo e não traria nenhum benefício real.