當您大量建立使用者登入並設定密碼(因為許多使用者不太可能更改其密碼)時,您如何傳播該資訊?
我們學部的學生在註冊後會自動分配一個使用者名稱和密碼。我知道有些學校列印大量的使用者名稱和密碼清單並將其保存在活頁夾中(並且班主任可能會分發學生的登入資訊)。 [是的,我知道使用者應該能夠建立自己的密碼。到目前為止,實現這一目標是站不住腳的,而且不幸的是,我不確定我們在技術上或社會上如何容易地改變事物,更不用說一些學生很少使用計算機,並且沒有很好的機會來設定新密碼,使他們的帳戶容易受到任何可以確定其用戶名(不難)並登入的人的攻擊。
雖然我知道這些不是高安全性密碼,但我想確保它們的安全。我還發現工作人員問:“這個帳戶什麼時候創建?” (學生正確註冊後幾個小時,謝謝)密碼是什麼(我不知道)。如果不是那麼不安全,最好透過電子郵件向秘書傳遞新密碼(以及年初的整個清單)。我會使用加密,但是,由於辦公室工作人員的技術能力範圍很廣,我討厭嘗試解釋如何解密文件。我真的不想以印刷形式分發訊息,因為它不安全,而且清單需要到達十幾個站點。我們確實有一個系統,工作人員可以登入以尋找學生,但它不確定自動化系統是否已建立該帳戶。
對於如何負責任地分發登入資訊有什麼建議嗎?
答案1
您可能想要尋找密鑰分配問題(Google 揭示了許多資訊),因為您概述的問題是許多理論和實踐密碼學的基礎。一般來說,使用者名稱不被視為秘密;對於許多網站來說,它由電子郵件地址組成;對於許多學術機構來說,它由學生姓名首字母組成,後綴為整數以確保唯一性。這使得用戶名很容易找到。事實上,一些學術機構積極、公開地使用它們來指稱學生。當然,在這種類型的安全性中,密碼是最重要的。應將其設為初始值(除非您可以確保學生在受控條件下輸入初始密碼,例如在初始註冊後),並且應由學生在首次登入時更改該密碼。密碼是否已外洩。如果學生成功登入並更改密碼,則密碼之前是否已讀取並不重要,因為現在已更改。如果學生無法登錄,則密碼可能已洩露,因此可以檢測到。這與銀行用於發放信用卡 PIN 的基本方法相同 - 儘管大多數人都懶得更改他們收到的 PIN。
重要的是要確保學生至少登入一次,以便更改密碼 - 可以透過電子郵件發送時間表或其他內容(如果電子郵件連結到系統帳戶),或將文件複製到使用者區域。
永遠不應該告訴員工密碼,並且應該在整個網站範圍內強制執行。事實上,除了學生之外,任何人都不應該知道密碼。
至於初始密碼的分發,你可以為每個學生打印一封信,並要求他們收集(雖然這會花費很多時間),分發給導師或導師(密封的- 雖然不提供任何安全性,但強制執行) 。我真的不會在任何時候列印密碼清單。
答案2
我不知道你所在的州,但如果你談論的是公立學校,我們所在的學校有指令要求我們必須從州審計員那裡更改密碼。無論如何,這就是給我的要求。
在我們的案例中,我們有最低的複雜性要求和老化要求。
這一切都是透過 Active Directory 設定的,您可以在其中將其設定為在首次登入時強制更改密碼,以及密碼變更之間的時間間隔(對於我們來說是三個月)。我們的複雜性類似於最後使用的三個密碼不同,不能將您的姓名或使用者名稱作為密碼的一部分,必須有數字/標點符號/大寫字母/小寫字母的混合(三者的某種混合)。
這樣,當使用者需要更改密碼時,我們只需將其更改為通用密碼(例如Resetme54321),然後在他們第一次使用它登入時,它會提示他們更改密碼。
我們也有應該遵循的政策;老師不是應該擁有密碼(有些出於某些原因我不會進入)但它是明確的......或者我們試圖明確......如果約翰尼的帳戶被用來進入共享或戳在地方它是約翰尼不該來,被叫去見校長。如果老師也有密碼,他們也可能會遇到麻煩,因為他們有權存取該帳戶。因此,如果約翰尼多被發現在網上瀏覽色情網站或製造炸彈的材料……任何擁有該帳戶信息的人都會受到懷疑。
再說一次…不知道您的具體情況,但如果您在公立學校系統,並且您的教育部門有審核員檢查您的系統,您可能需要在審核之前與他們核實他們的要求,或者與您所在州相當於IU(中級單位...對於PA,他們做的事情包括向某個地區的學校提供技術和國家服務。培訓。附近的一個從事軟體許可銷售。諮詢、伺服器維護、託管... 。
答案3
我的同事建議將憑證清單輸出到加密的 PDF 檔案中。我認為這很有意義,因為這樣我只需向每個學校的校長提供一個密碼,他就可以與工作人員共享它,並且當任何人打開該文件時,系統會提示他們輸入密碼來解密它自動地。
我甚至可以讓工作人員無法列印該文檔,但我預計這會讓很多人對我不滿意,並且不會獲得真正的好處。