Как вы распространяете информацию при массовом создании учетных записей пользователей с установленными паролями, поскольку маловероятно, что многие пользователи будут менять свои пароли?
Учащимся нашего школьного подразделения автоматически присваивается имя пользователя и пароль после регистрации. Я знаю, что некоторые школы распечатывают большой список имен пользователей и паролей и хранят их в папке (и, предположительно, классные руководители раздают информацию о входе учеников). [Да, я знаю, что пользователи должны иметь возможность создавать собственные пароли. До сих пор это было невозможно, и, к сожалению, я не уверен, насколько легко мы могли бы что-то изменить, технологически или социально, не говоря уже о том, что некоторые студенты пользуются компьютерами нечасто и не имеют возможности установить новый пароль, что делает их учетные записи уязвимыми для любого, кто может определить их имя пользователя (несложно) и войти в систему.]
Хотя я знаю, что это не очень надежные пароли, я бы хотел сохранить их в безопасности. Я также обнаружил, что сотрудники спрашивают: «Когда будет создана эта учетная запись?» (через несколько часов после того, как студент будет должным образом зарегистрирован, спасибо) и какой пароль (я не помню навскидку). Если бы это не было так небезопасно, было бы неплохо отправлять секретарям по электронной почте новые пароли для передачи (и целые списки в начале года, если на то пошло). Я бы использовал шифрование, но, поскольку технические возможности сотрудников офиса варьируются в диапазоне, я ненавижу пытаться объяснять, как расшифровать файл. Я действительно не хочу распространять информацию в печатном виде, так как это небезопасно, и списки должны будут попасть на дюжину сайтов. У нас есть система, в которую сотрудники могут войти, чтобы найти студентов, но она не знает наверняка, создала ли автоматизированная система учетную запись.
Есть ли какие-либо предложения по ответственному распространению данных для входа в систему?
решение1
Возможно, вам захочется изучить проблему распределения ключей (Google выдает много информации), поскольку проблемы, которые вы описали, являются основополагающими для многих теоретических и практических аспектов криптографии. Обычно имя пользователя не считается секретным; для многих сайтов оно состоит из адреса электронной почты, а для многих учебных заведений оно состоит из инициалов студента, к которым для уникальности добавляется целое число. Это, как правило, упрощает поиск имен пользователей. Действительно, некоторые учебные заведения активно и публично используют их для обозначения студентов. Пароль, конечно, является самым важным в этом типе безопасности. Он должен быть установлен на начальное значение (если только вы не можете гарантировать, что начальный пароль будет введен студентом в контролируемых условиях, например, после первоначальной регистрации), и он должен быть изменен студентом при первом входе в систему. Это должно быть обязательным, в противном случае нет способа узнать, был ли пароль уже скомпрометирован. Если студент успешно войдет в систему и изменит пароль, не имеет значения, был ли пароль прочитан ранее, так как теперь он был изменен. Если студент не может войти в систему, пароль мог быть скомпрометирован, и поэтому это будет обнаружено. Это тот же самый базовый метод, который банки используют для выдачи PIN-кодов для кредитных карт - хотя большинство людей не утруждают себя сменой отправленного им PIN-кода.
Важно убедиться, что учащиеся входят в систему хотя бы один раз, чтобы сменить пароль — возможно, отправив свое расписание или что-то еще по электронной почте (если электронная почта привязана к системной учетной записи) или скопировав файл в зону пользователя.
Персоналу никогда не следует сообщать пароль, и это должно быть обеспечено на всей территории. Действительно, никто, кроме студента, не должен знать пароль.
Что касается распространения начального пароля, вы можете распечатать письмо для каждого ученика и попросить их забрать его (хотя это займет много времени), раздать его репетиторам или наставникам (запечатанным — хотя это и не обеспечивает никакой безопасности, принудительное изменение пароля гарантирует, что пароль не будет клонирован), или отправить его по их адресу. Я бы вообще не стал печатать список паролей.
решение2
Я не знаю, в каком штате вы находитесь, но если вы говорите о государственной школе, где мы находимся, у нас была директива, что мы должны были иметь изменяемые пароли от государственных аудиторов. Таково было требование, которое мне дали, во всяком случае.
В нашем случае к нам предъявлялись минимальные требования по сложности и сроку службы.
Все было настроено с помощью Active Directory, где можно настроить принудительное изменение пароля при первом входе в систему и интервал между изменениями пароля (у нас три месяца). Сложность для нас была в чем-то вроде того, что пароль не тот же, что и в последних трех использованных, не может быть вашего имени или имени пользователя в качестве части пароля, должен быть набор цифр/знаков препинания/заглавных/строчных букв (какая-то смесь этих трех).
Таким образом, когда пользователям требуется сменить пароль, мы просто меняем его на что-то общее (например, Resetme54321), а затем при первом входе в систему с этим паролем система предлагает им сменить пароль.
У нас также есть правила, которые должны соблюдаться; учителя непредполагаемыйиметь пароли (некоторые должны иметь их по определенным причинам, в которые я не буду вдаваться), но это ясно дано понять... или мы пытаемся ясно дать понять... что если учетная запись Джонни используется для доступа к общему ресурсу или залезания в места, где ее быть не должно, Джонни вызывают к директору. Если у учителя также есть пароль, у него тоже могут быть проблемы, так как у него был доступ к этой учетной записи. Так что если johnnydoe был обнаружен просматривающим порносайты или материалы по изготовлению бомб в Интернете... любой, у кого есть эта учетная информация, является подозреваемым.
Опять же... не знаю ваших конкретных обстоятельств, но если вы работаете в системе государственных школ и ваш департамент образования имеет аудиторов, проверяющих ваши системы, вы можете уточнить у них, каковы их требования, прежде чем вы пройдете аудит, или проконсультироваться с эквивалентом IU в вашем штате (промежуточное подразделение... для PA, они занимаются такими вещами, как предоставление технических и государственных услуг для региона школ. Обучение. Один из них неподалеку занимается продажей лицензий на программное обеспечение. Консультации, обслуживание серверов, хостинг... Вы можете поискать в Google промежуточное подразделение в Пенсильвании, чтобы узнать примеры того, что предлагают разные подразделения.) В разных штатах, вероятно, действуют разные правила.
решение3
Мой коллега порекомендовал выводить списки учетных данных в зашифрованный PDF-файл. Я думаю, это имеет большой смысл, так как тогда мне нужно будет только дать пароль директору в каждой школе, он сможет поделиться им с персоналом, и когда кто-либо откроет документ, ему будет предложено ввести пароль для его автоматической расшифровки.
Я мог бы даже сделать так, чтобы сотрудники не смогли распечатать документ, но я полагаю, что это вызвало бы недовольство многих людей и не принесло бы никакой реальной выгоды.