Equipe de TI da escola pedindo senhas [fechadas]

6

Eu notei da última vez que estive no escritório de TI da minha escola que eles pediram as senhas dos alunos. Eu acho que o aluno estava tendo o sistema operacional reinstalado ou o teclado substituído, não me lembro com certeza. De qualquer forma, o contrato que temos que assinar para ter acesso à rede escolar / computadores escolares (que basicamente somos obrigados a assinar) diz isso (traduzido):

The password is personal and shall be kept secret. If a suspicion or knowledge of someone else gaining access to the password, the student shall change his or her password immediately.

O contrato não diz nada sobre isso não se aplicar se a equipe solicitar sua senha, então enviei o seguinte email para a equipe de TI da escola (novamente, traduzido do norueguês):

Hi,

Last week I noticed that the IT staff at school encouraged students to breach the IT contract they've signed. A student was at the IT office (I can't remember why, but I think it was an operating system reinstall or a keyboard replacement), and was asked to write down her password on a sticky note. Under section 3, "User identity and password", the contract states the following:

The password is personal and shall be kept secret. If a suspicion or knowledge of someone else gaining access to the password, the student shall change his or her password immediately. I think this episode is a clear breach on the IT contract, and shows an unprofessional attitude towards security.

     

Atenciosamente,   Henrik Hodne

Hoje recebi a seguinte resposta (traduzida novamente):

Hi! Normally you would be correct about giving away your password to others. However, when it comes to the IT staff things are slightly different.

We are able to change the passwords of all students and staff, and therefore we have a technical ability to access their resources.

We have therefore decided to let the student decide if they want us to change the password for them when we work on the machine, or if they wish to keep their password, in which case we write it down on a sticky note.

Regards, [Name of IT staff person], IT

O que você acha que devo responder? Eu deveria simplesmente deixar ir? Eu ainda acho que é errado da parte deles pedir a senha, e ainda mais errado escrevê-la, e não tem nada comigo preocupado com o acesso aos meus dados.

    
por henrikhodne 29.08.2011 / 11:34

4 respostas

14

As respostas anteriores parecem ser basicamente do tom "elas podem acessar seus arquivos de qualquer forma, então não importa se elas têm sua senha". Isso está incorreto. Muitos usuários reutilizam senhas ou as geram de acordo com um esquema óbvio (por exemplo, anexando "1" a "12" para frustrar a política de rotação de senhas da sua escola ou usando "pass-by" no StackOverflow, "pass-su" no SuperUser, etc). Se um usuário desse tipo fornecer sua senha à equipe de TI da escola, ele não estará apenas fornecendo a capacidade de acessar informações que a equipe de TI já pode acessar por meio de privilégios de administrador, mas também fornecendo acesso a outros recursos não relacionados. A equipe de TI não tem acesso de administrador nem qualquer motivo legítimo para poder acessar.

Além disso, há sempre a possibilidade de fraude e engenharia social - eu não sei sobre você, mas meus filtros de spam captam uma barreira constante de "Oi, sou da equipe do seu servidor de e-mail e preciso do nome da sua conta e senha por algum motivo ridículo ou outras "tentativas de phishing". É muito mais fácil e mais eficaz ensinar aos usuários que eles devem absolutamente nunca dar suas senhas a qualquer do que primeiro descobrir uma exceção para a equipe de TI e esperar que eles ser capaz de determinar de forma correta e consistente se eles estão lidando com a equipe de TI real ou com impostores.

Finalmente, escrever os detalhes da conta em um post-it (que provavelmente está preso à própria máquina, facilitando para qualquer passante identificar onde essas credenciais serão utilizáveis) compõe seriamente o problema, a menos que o post- ele e a máquina são mantidos em um local seguro (para que somente a equipe de TI possa ter acesso a eles) e o post-it é destruído (triturado, purgado com chamas, etc.) antes de sair da área segura.

O curso correto é que a equipe de TI não apenas pare de solicitar senhas de usuários, mas também adote a mesma abordagem do PayPal (entre outras, mas elas são as primeiras a serem lembradas) e diga aos usuários "nós vamos < em> never solicite sua senha; qualquer um que alegar ser da equipe de TI e perguntar se sua senha está mentindo, por isso não a entregue a ela ". Não há tempo como o presente para começar a ensinar bons hábitos de segurança aos alunos. Escolas, de todos os lugares, não deveriam ensinar o contrário.

    
por 29.08.2011 / 12:52
2

Você pode pedir que atualizem os Termos de Serviço com uma isenção para o I.T. departamento, mas com a condição de que quando um aluno que é informado [que uma nova senha pode ser atribuída] optar por fornecer-lhes a sua senha atual, que o I.T. a equipe também estaria assumindo a responsabilidade de proteger essa senha contra roubo, observação de terceiros não autorizados, etc. ( cláusulas sobre a destruição de senhas escritas à mão, como retalhadores cruzados e prazos, também é importante ).

Além de resolver uma violação técnica dos Termos de Serviço, essa solução também faz sentido para os usuários finais, porque a maioria tende a confiar naturalmente em I.T. funcionários com informações confidenciais (como senhas) de qualquer maneira.

    
por 29.08.2011 / 12:12
1

Eu acho que com o caso da equipe de TI é um pouco diferente. Alguns (mas talvez nem todos) deles poderão redefinir sua senha e acessar seus dados. Então, em teoria, se eles quisessem ver seus dados, eles poderiam (embora, se eles configurassem os perfis corretamente, eles deveriam conseguir de qualquer maneira, ou pelo menos uma conta). Eu concordo com você na pergunta sobre senhas, está errado e é uma prática ruim. O que deve acontecer é que a senha é redefinida, a equipe de TI faz seu trabalho, a senha é definida para ser alterada no próximo logon e o aluno digita a senha escolhida. (Isto, no entanto, é nulo e vazio se as últimas senhas não puderem ser escolhidas novamente por um certo tempo, no entanto, nos estabelecimentos de educação que eu tenho trabalhado nessa bandeira normalmente é desativado por padrão, pois os alunos tendem a ter problemas em levantar pela menos de todos recordando x quantidade de senhas diferentes e para mantê-las girando)
Pode valer a pena falar com o seu departamento de TI e sugerir isso.
No entanto, acho que esta questão pode ser encerrada e é mais uma discussão do wiki da comunidade, é errado para os administradores de domínio pedir uma senha de usuário.

    
por 29.08.2011 / 11:44
0

Você deve enviá-los para alterar a regra do contrato sobre isso. Se quiserem acessar seu PC e quiserem verificar os dados, devem mencioná-lo antes de assinar o contrato. De acordo com o seu contrato, isso é realmente errado, já que eles mencionaram o contrato lá e eles não disseram que essa regra não é aplicável no departamento de TI.

Eles devem ter um motivo legal para acessar seu sistema. Se eles quiserem saber a senha de vez em quando (se você alterar sua senha em qualquer caso), eles devem permitir alterá-la mais de 12 vezes. Deveria haver mudança no papel do contrato que tornaria isso fácil.

What if the IT staff know the password

No meu caso, nunca enfrentei nenhum problema quando algum membro da equipe de TI conhece a senha do meu PC. Eles só precisam acessar minha conta e verificar os dados do meu. Então não deve haver nenhum problema com você também eu acho que sim. Eles tinham sido listados em seu contrato que, se eles querem saber a senha, então nós tivemos que dar a eles qualquer condição. Se algum dado suspeito for encontrado na minha conta, ele será cancelado.

Agora, no seu caso, se eles quiserem verificar seus dados, você pode solicitá-los para acessá-los na sua presença (se eles concordarem em não saber sobre senha).

Mas por todo o caminho existe a melhor maneira de alterar a lista de contratos para ficar mais claro para um aluno que, no futuro, eles não devem enfrentar esse problema.

    
por 29.08.2011 / 12:22