当您批量创建用户登录名并设置密码时,由于许多用户不太可能更改其密码,您如何传播这些信息?
我们学校部门的学生在注册后会自动分配一个用户名和密码。我知道有些学校会打印出一大堆用户名和密码,并将它们保存在一个活页夹中(而且,班主任可能会分发学生的登录信息)。 [是的,我知道用户应该能够创建自己的密码。但迄今为止,这一直无法实现,而且不幸的是,我不确定我们能多么轻松地改变现状,无论是从技术上还是从社会上,更不用说有些学生很少使用电脑,也没有机会设置新密码,这使得他们的帐户很容易被任何能够确定其用户名(这并不难)并登录的人窃取。]
虽然我知道这些密码的安全性并不高,但我还是想保证它们的安全。我还发现工作人员会问:“这个账户什么时候创建?”(谢谢,学生正确注册后几个小时)以及密码是什么(我一下子想不起来)。如果不那么不安全,最好通过电子邮件将新密码发送给秘书(以及年初发送的整个名单)。我会使用加密,但由于办公室工作人员的技术能力参差不齐,我讨厌解释如何解密文件。我真的不想以印刷形式分发信息,因为这不安全,而且名单需要发送到十几个网站。我们确实有一个系统,工作人员可以登录来查找学生,但它不能确定自动系统是否创建了该账户。
关于如何负责任地分发登录信息有什么建议吗?
答案1
您可能需要查找密钥分发问题(Google 会显示大量信息),因为您概述的问题对于许多理论和实践密码学而言都是基础。通常,用户名不被视为秘密;对于许多网站,它由电子邮件地址组成,对于许多学术机构,它由学生的姓名首字母加上整数后缀组成,以保证唯一性。这往往使用户名很容易被发现。事实上,一些学术机构积极公开地使用它们来指代学生。当然,在这种类型的安全性中,密码是最重要的。它应该设置为初始值(除非您可以确保学生在受控条件下输入初始密码,例如在初始注册后),并且学生应该在首次登录时更改此密码。这应该强制执行,否则无法知道密码是否已被泄露。如果学生成功登录并更改密码,则密码是否之前被读取并不重要,因为它现在已经被更改了。如果学生无法登录,密码可能已被泄露,因此这种情况是可以检测到的。这与银行发放信用卡 PIN 码的基本方法相同 - 尽管大多数人都懒得更改他们收到的 PIN 码。
重要的是确保学生至少登录一次,以便更改密码 - 也许通过通过电子邮件发送他们的时间表或其他内容(如果电子邮件链接到系统帐户),或将文件复制到用户区。
绝不应将密码告知员工,并且应在整个学校范围内执行这一规定。事实上,除了学生之外,任何人都不应该知道密码。
至于初始密码的分发,您可以为每个学生打印一封信,并要求他们收集它(尽管这会花费很多时间),将其分发给导师或指导老师(密封 - 虽然不提供任何安全性,但强制更改密码将确保密码未被克隆),或将其邮寄到他们的地址。实际上,我不会在任何时候打印密码列表。
答案2
我不知道你所在的州,但如果你指的是公立学校,我们那里的州审计员要求我们必须更改密码。无论如何,这是我所接受的要求。
在我们的案例中,我们有最低复杂性要求和老化要求。
这一切都是在 Active Directory 中设置的,您可以将其设置为在首次登录时强制更改密码,以及更改密码的间隔时间(我们为三个月)。我们的密码复杂度包括不能与最后使用的三个密码相同,不能将您的姓名或用户名作为密码的一部分,必须包含数字/标点符号/大写字母/小写字母组合(三者的某种混合)。
这样,当用户需要更改密码时,我们只需将其更改为通用密码(例如,Resetme54321),然后当他们第一次使用该密码登录时,系统会提示他们更改密码。
我们也有应该遵守的政策;老师们没有应该拥有密码(有些人必须拥有密码,原因我就不多说了),但有一点很清楚……或者我们试图明确……如果 Johnny 的帐户被用来进入共享或访问不该进入的地方,Johnny 就会被叫到校长那里。如果老师也有密码,他们也可能会遇到麻烦,因为他们可以访问该帐户。因此,如果发现 Johnnydoe 在网上浏览色情网站或制作炸弹的材料……任何拥有该帐户信息的人都是可疑的。
再说一遍...不知道你的具体情况,但如果你就读于公立学校系统,并且你的教育部门有审计员检查你的系统,你可能需要在审计之前向他们核实他们的要求,或者向你所在州的 IU(中级单位...对于 PA,他们做的事情包括为某个地区的学校提供技术和国家服务。培训。这附近的一个单位做软件许可销售。咨询、服务器维护、托管...你可以谷歌搜索宾夕法尼亚州中级单位,了解不同单位提供的示例。)不同的州可能会做不同的事情。
答案3
我的同事建议将凭证列表输出到加密的 PDF 文件中。我认为这非常有意义,因为这样我只需要向每所学校的校长提供密码,他可以将其分享给员工,并且当任何人打开文档时,系统都会提示他们输入密码以自动解密。
我甚至可以让工作人员无法打印该文件,但我预计这会让很多人对我不满意并且不会带来任何实际好处。