Equipe de TI da escola pedindo senhas [fechadas]

As respostas anteriores parecem ser basicamente do tom "elas podem acessar seus arquivos de qualquer forma, então não importa se elas têm sua senha". Isso está incorreto. Muitos usuários reutilizam senhas ou as geram de acordo com um esquema óbvio (por exemplo, anexando "1" a "12" para frustrar a política de rotação de senhas da sua escola ou usando "pass-by" no StackOverflow, "pass-su" no SuperUser, etc). Se um usuário desse tipo fornecer sua senha à equipe de TI da escola, ele não estará apenas fornecendo a capacidade de acessar informações que a equipe de TI já pode acessar por meio de privilégios de administrador, mas também fornecendo acesso a outros recursos não relacionados. A equipe de TI não tem acesso de administrador nem qualquer motivo legítimo para poder acessar.

Além disso, há sempre a possibilidade de fraude e engenharia social - eu não sei sobre você, mas meus filtros de spam captam uma barreira constante de "Oi, sou da equipe do seu servidor de e-mail e preciso do nome da sua conta e senha por algum motivo ridículo ou outras "tentativas de phishing". É muito mais fácil e mais eficaz ensinar aos usuários que eles devem absolutamente nunca dar suas senhas a qualquer do que primeiro descobrir uma exceção para a equipe de TI e esperar que eles ser capaz de determinar de forma correta e consistente se eles estão lidando com a equipe de TI real ou com impostores.

Finalmente, escrever os detalhes da conta em um post-it (que provavelmente está preso à própria máquina, facilitando para qualquer passante identificar onde essas credenciais serão utilizáveis) compõe seriamente o problema, a menos que o post- ele e a máquina são mantidos em um local seguro (para que somente a equipe de TI possa ter acesso a eles) e o post-it é destruído (triturado, purgado com chamas, etc.) antes de sair da área segura.

O curso correto é que a equipe de TI não apenas pare de solicitar senhas de usuários, mas também adote a mesma abordagem do PayPal (entre outras, mas elas são as primeiras a serem lembradas) e diga aos usuários "nós vamos < em> never solicite sua senha; qualquer um que alegar ser da equipe de TI e perguntar se sua senha está mentindo, por isso não a entregue a ela ". Não há tempo como o presente para começar a ensinar bons hábitos de segurança aos alunos. Escolas, de todos os lugares, não deveriam ensinar o contrário.

Você pode pedir que atualizem os Termos de Serviço com uma isenção para o I.T. departamento, mas com a condição de que quando um aluno que é informado [que uma nova senha pode ser atribuída] optar por fornecer-lhes a sua senha atual, que o I.T. a equipe também estaria assumindo a responsabilidade de proteger essa senha contra roubo, observação de terceiros não autorizados, etc. ( cláusulas sobre a destruição de senhas escritas à mão, como retalhadores cruzados e prazos, também é importante ).

Além de resolver uma violação técnica dos Termos de Serviço, essa solução também faz sentido para os usuários finais, porque a maioria tende a confiar naturalmente em I.T. funcionários com informações confidenciais (como senhas) de qualquer maneira.

Eu acho que com o caso da equipe de TI é um pouco diferente. Alguns (mas talvez nem todos) deles poderão redefinir sua senha e acessar seus dados. Então, em teoria, se eles quisessem ver seus dados, eles poderiam (embora, se eles configurassem os perfis corretamente, eles deveriam conseguir de qualquer maneira, ou pelo menos uma conta). Eu concordo com você na pergunta sobre senhas, está errado e é uma prática ruim. O que deve acontecer é que a senha é redefinida, a equipe de TI faz seu trabalho, a senha é definida para ser alterada no próximo logon e o aluno digita a senha escolhida. (Isto, no entanto, é nulo e vazio se as últimas senhas não puderem ser escolhidas novamente por um certo tempo, no entanto, nos estabelecimentos de educação que eu tenho trabalhado nessa bandeira normalmente é desativado por padrão, pois os alunos tendem a ter problemas em levantar pela menos de todos recordando x quantidade de senhas diferentes e para mantê-las girando)
Pode valer a pena falar com o seu departamento de TI e sugerir isso.
No entanto, acho que esta questão pode ser encerrada e é mais uma discussão do wiki da comunidade, é errado para os administradores de domínio pedir uma senha de usuário.

Você deve enviá-los para alterar a regra do contrato sobre isso. Se quiserem acessar seu PC e quiserem verificar os dados, devem mencioná-lo antes de assinar o contrato. De acordo com o seu contrato, isso é realmente errado, já que eles mencionaram o contrato lá e eles não disseram que essa regra não é aplicável no departamento de TI.

Eles devem ter um motivo legal para acessar seu sistema. Se eles quiserem saber a senha de vez em quando (se você alterar sua senha em qualquer caso), eles devem permitir alterá-la mais de 12 vezes. Deveria haver mudança no papel do contrato que tornaria isso fácil.

What if the IT staff know the password

No meu caso, nunca enfrentei nenhum problema quando algum membro da equipe de TI conhece a senha do meu PC. Eles só precisam acessar minha conta e verificar os dados do meu. Então não deve haver nenhum problema com você também eu acho que sim. Eles tinham sido listados em seu contrato que, se eles querem saber a senha, então nós tivemos que dar a eles qualquer condição. Se algum dado suspeito for encontrado na minha conta, ele será cancelado.

Agora, no seu caso, se eles quiserem verificar seus dados, você pode solicitá-los para acessá-los na sua presença (se eles concordarem em não saber sobre senha).

Mas por todo o caminho existe a melhor maneira de alterar a lista de contratos para ficar mais claro para um aluno que, no futuro, eles não devem enfrentar esse problema.