学校 IT 工作人员要求输入密码

之前的回答似乎主要都是“他们无论如何都可以访问你的文件，所以他们是否有你的密码并不重要”。这是不正确的。许多用户重复使用密码或根据明显的方案生成密码（例如，将“1”附加到“12”以破坏学校的密码轮换政策，或在 StackOverflow 上使用“pass-so”，在 SuperUser 上使用“pass-su”等）。如果这样的用户将密码提供给学校的 IT 人员，他们不仅为他们提供了访问 IT 人员已经可以通过其管理员权限访问的信息的能力，而且还提供了对其他不相关资源的访问权限，而 IT 人员既没有管理员访问权限，也没有任何合法理由访问这些资源。

此外，欺诈和社会工程的可能性始终存在——我不知道你的情况，但我的垃圾邮件过滤器不断收到“你好，我是你的电子邮件服务器的工作人员，出于某些荒谬的原因，我需要你的账户名和密码”这样的钓鱼邮件。告诉用户他们应该绝对不会把密码提供给任何人而不是首先为 IT 人员开辟一个例外，然后期望他们能够正确且一致地判断他们是在与真正的 IT 人员打交道还是在与冒名顶替者打交道。

最后，将账户详细信息写在便签上（便签很可能会贴在机器上，任何路人都可以轻松识别这些凭证可以在何处使用）会使问题更加严重，除非将便签和机器都放在安全的地方（这样只有 IT 人员才能访问它们）并且在离开安全区域之前将便签销毁（撕碎、用火焰清除等）。

正确的做法是，IT 人员不仅要停止要求用户输入密码，还要采取与 PayPal 相同的方法（还有其他公司，但他们是第一个想到的），并告诉用户“我们将绝不询问你的密码；任何自称是 IT 人员并询问你的密码的人都是在撒谎，所以不要把密码告诉他们”。现在是开始教学生养成良好安全习惯的最佳时机。学校不应该教相反的东西。

你可以要求他们更新服务条款，为 IT 部门提供豁免，但条件是，当被告知 [可以分配新密码] 的学生选择向他们提供其当前密码时，IT 人员也要负责确保该密码免遭盗窃、未经授权的第三方观察等。（关于销毁手写密码（如交叉碎纸机和时间框架）的条款也很重要）。

除了解决对服务条款的技术违规之外，该解决方案对最终用户来说也很有意义，因为大多数人倾向于自然地信任 IT 人员向其保管机密信息（例如密码）。

我认为 IT 人员的情况有点不同。他们中的一些人（但可能不是全部）将能够重置您的密码并访问您的数据。因此，理论上，如果他们想查看您的数据，他们可以（尽管如果他们正确设置了配置文件，他们无论如何都应该能够这样做，或者至少有一个帐户可以这样做）
我同意您关于询问密码的说法，这是错误的，也是不好的做法。应该发生的是重置密码，IT 人员进行他们的工作，将密码设置为在下次登录时更改，然后学生输入他选择的密码。（但是，如果在一定时间内不允许再次选择最后的密码，则此设置无效，但是在我工作过的教育机构中，此标志通常默认关闭，因为学生早上起床时往往有困难，尤其是记不住X（例如，设置多个不同的密码并不断轮换它们）
可能值得与您的 IT 部门交谈并提出此建议。
但是我确实认为这个问题可能会被关闭，更像是社区 wiki 讨论，例如，域管理员询问用户密码是否错误。

你应该给他们发邮件，要求他们更改合同中关于此的规定。如果他们想访问你的电脑并检查数据，他们应该在签订合同之前就提到这一点。根据你的合同，这确实是错误的，因为他们在合同中也提到了这一点，但他们没有说明这条规定不适用于 IT 部门。

他们应该有合法的理由访问你的系统。如果他们想时不时地知道密码（如果你在任何情况下更改密码），那么他们应该允许更改密码超过 12 次。合同文件中应该有更改，这确实会使这变得容易。

What if the IT staff know the password

就我而言，当任何 IT 员工知道我的电脑密码时，我从未遇到过任何问题。他们只需要访问我的帐户并检查我的数据。所以我认为你也应该不会有问题。
他们在合同中列出了，如果他们想知道密码，那么我们必须在任何情况下都向他们提供。如果在我的帐户中发现任何可疑数据，他们就会停止我的帐户。

现在，如果他们想检查您的数据，您可以请求他们在您面前访问它（如果他们同意不知道密码）。

但是，有更好的方法可以改变合同清单，使学生更加清楚，以便他们将来不必再面对这个问题。