Хорошие способы распространения информации для входа, особенно когда создаются новые пользователи?
Как вы распространяете информацию, когда вы создаете массовые логины пользователей с установленными паролями, так как многие пользователи вряд ли смогут изменить свои пароли?
Учащиеся нашего школьного отделения автоматически получают имя пользователя и пароль после регистрации. Я знаю, что некоторые школы распечатывают большой список имен пользователей и паролей и хранят их в переплете (и, по-видимому, учителя в классе раздают информацию о входе ученика в систему). [Да, я знаю, что пользователи должны иметь возможность создавать свои собственные пароли. До сих пор было невозможно сделать эту работу, и, к сожалению, я не уверен, насколько легко мы могли бы что-то изменить, технологически или социально, не говоря уже о том, что некоторые из студентов используют компьютеры нечасто и не имеют хорошей возможности установить новый пароль, оставляя свою учетную запись уязвимой для любого, кто может определить свое имя пользователя (не сложно) и войти в систему.]
Хотя я знаю, что это не пароли с высокой степенью защиты, я бы хотел сохранить их в безопасности. Я также обнаружил, что сотрудники спрашивают: "Когда будет создан этот аккаунт?" (через несколько часов после того, как ученик был надлежащим образом зарегистрирован, спасибо) и какой пароль (я не знаю, в верхней части головы). Если бы это было не так небезопасно, было бы неплохо, чтобы секретари по электронной почте передавали новые пароли (и целые списки в начале года). Я бы использовал шифрование, но, поскольку технические возможности офисного персонала охватывают весь спектр, я не хочу объяснять, как расшифровать файл. Я не хочу распространять информацию в печатном виде, так как это небезопасно, и списки должны были бы попасть на дюжину сайтов. У нас есть системный персонал, который может войти, чтобы найти студентов, но он не знает наверняка, создала ли автоматизированная система учетную запись.
Есть ли какие-либо предложения о том, как ответственно распространять информацию для входа?
3 ответа
Мой коллега рекомендовал выводить списки учетных данных в зашифрованный файл PDF. Я думаю, что это имеет большой смысл, так как тогда мне нужно только дать пароль директору в каждой школе, он может поделиться им с персоналом, и, когда кто-нибудь откроет документ, ему будет предложено ввести пароль для его расшифровки. автоматически.
Я мог бы даже сделать так, чтобы персонал не мог распечатать документ, но я ожидаю, что это сделает многих людей недовольными мной и не принесет никакой реальной выгоды.
Возможно, вы захотите взглянуть на проблему распределения ключей (Google выдает много информации), так как изложенные проблемы имеют фундаментальное значение для многих теоретических и практических задач криптографии. Обычно имя пользователя не считается секретным; для многих сайтов он состоит из адреса электронной почты, а для многих учебных заведений он состоит из инициалов студента с добавлением целого числа для уникальности. Это позволяет легко узнавать имена пользователей. Действительно, некоторые учебные заведения используют их активно и публично для обозначения студентов. Пароль является наиболее важным, конечно, в этом типе безопасности. Для него должно быть установлено начальное значение (если вы не можете гарантировать, что начальный пароль будет введен студентом в контролируемых условиях, например, после первоначальной регистрации), и это должно быть изменено студентом при первом входе в систему. Это должно быть принудительно, в противном случае невозможно узнать, был ли пароль уже взломан. Если учащийся успешно входит в систему и меняет пароль, не имеет значения, был ли пароль прочитан ранее, так как теперь он был изменен. Если учащийся не может войти в систему, возможно, пароль был взломан, и поэтому его можно будет обнаружить. Это тот же самый базовый метод, который банки используют для выдачи ПИН-кодов для кредитных карт - хотя большинство людей не удосуживаются изменить ПИН-код, который они отправили.
Важно, чтобы учащиеся вошли в систему хотя бы один раз, чтобы изменить пароль - возможно, отправив свое расписание или что-то по электронной почте (если электронная почта связана с системной учетной записью), или скопировав файл в пользовательскую область.
Персоналу никогда не следует сообщать пароль, и его следует применять на всем сайте. Действительно, никто, кроме студента, не должен знать пароль.
Что касается распределения исходного пароля, вы можете напечатать письмо для каждого учащегося и попросить его собрать его (хотя это займет много времени), распространить его среди наставников или наставников (запечатано - хотя и не обеспечивает никакой безопасности, обеспечивает изменение пароля будет следить за тем, чтобы пароль не был клонирован), или отправлять его на свой адрес. Я бы не стал печатать список паролей в любой момент, правда.
Я не знаю, в каком штате вы находитесь, но если вы говорите о государственной школе, где мы находимся, у нас была директива, что мы должны были менять пароли от государственных аудиторов. Во всяком случае, это было требование, данное мне.
В нашем случае мы предъявляли минимальные требования к сложности и старению.
Все было настроено в Active Directory, где вы можете настроить принудительную смену пароля при первом входе в систему и сколько времени между сменами пароля (у нас три месяца). Сложность для нас была чем-то похожим на тот же пароль, что и для последних трех, не может содержать ваше имя или имя пользователя в качестве части пароля, должен иметь сочетание цифр / знаков препинания / прописных / строчных букв (некоторая смесь из трех).
Таким образом, когда пользователям требуется изменить пароль, мы просто меняем его на что-то общее (например, Resetme54321), а затем при первом входе в систему он предлагает им сменить пароль.
У нас также есть политика, которой нужно следовать; у учителей не должно быть паролей (некоторые по определенным причинам мне не нужны), но это ясно... или мы пытаемся прояснить... что если учетная запись Джонни используется, чтобы войти в общий ресурс или тыкай туда, где его не должно быть, Джонни вызывают к директору. Если у учителя также есть пароль, у него могут возникнуть проблемы, поскольку он имеет доступ к этой учетной записи. Так что, если johnnydoe был найден просмотр порносайтов или изготовление бомб материала в Интернете... кто с этой информацией счета является подозреваемым.
Опять же... не знаю ваших конкретных обстоятельств, но если вы работаете в системе государственных школ и в вашем отделе ed есть аудиторы, проверяющие ваши системы, вы можете уточнить у них, каковы их требования, прежде чем проводить аудит, или проверьте с вашим штатом эквивалент IU (промежуточного звена... для PA), они делают такие вещи, как предоставление технических и государственных услуг регионам школ. Обучение. Один из них поблизости занимается продажей лицензий на программное обеспечение. Консультации, обслуживание серверов, хостинг..В качестве примера того, что предлагают разные, вы можете найти в Google промежуточную единицу для Пенсильвании.) Разные штаты, вероятно, делают разные вещи.