Boas maneiras de divulgar informações de login, especialmente quando novos usuários são criados?

Navegue suas respostas
3

Quando você cria logins de usuários em massa, com senhas definidas, é improvável que muitos usuários alterem suas senhas. Como você dissemina as informações?

Alunos da nossa divisão escolar recebem automaticamente um nome de usuário e senha após o registro. Eu sei que algumas escolas imprimem uma grande lista de nomes de usuário e senhas e as guardam em uma pasta (e, presumivelmente, os professores da sala passam as informações de login do aluno). [Sim, sei que os usuários devem poder criar suas próprias senhas. Até agora tem sido insustentável fazer esse trabalho e, infelizmente, não tenho certeza de quão facilmente poderíamos mudar as coisas, tecnológica ou socialmente, sem mencionar que alguns alunos usam computadores com pouca freqüência e não têm uma boa oportunidade para definir uma nova senha, deixando sua conta vulnerável a qualquer pessoa que pudesse determinar seu nome de usuário (não difícil) e faça o login.]

Embora eu saiba que estas não são senhas de alta segurança, gostaria de mantê-las seguras. Também descobri que os membros da equipe perguntam: "Quando essa conta será criada?" (algumas horas depois que o aluno está devidamente registrado, obrigado) e qual é a senha (eu não sei do topo da minha cabeça). Se não fosse tão inseguro, seria bom enviar e-mails para as novas senhas para as secretárias passarem (e listas inteiras no começo do ano). Eu usaria criptografia, mas, como a capacidade técnica da equipe do escritório varia, eu detesto tentar explicar como descriptografar o arquivo. Eu realmente não quero distribuir informações em formato impresso, pois é inseguro e as listas precisariam chegar a uma dúzia de sites. Temos uma equipe do sistema que pode fazer login para procurar alunos, mas não sabe ao certo se o sistema automatizado criou a conta.

Há alguma sugestão sobre como distribuir com responsabilidade as informações de login?

    
por Clinton Blackmore 09.08.2010 / 19:56

3 respostas

1

Meu colega de trabalho recomendou a saída das listas de credenciais em um arquivo PDF criptografado. Eu acho que isso faz muito sentido, pois eu só tenho que dar uma senha para o diretor em cada escola, ele pode compartilhá-lo com a equipe, e, quando alguém abre o documento, eles serão solicitados a senha para descriptografá-lo automaticamente.

Eu poderia até mesmo fazer com que a equipe não pudesse imprimir o documento, mas espero que isso deixaria muita gente insatisfeita comigo e não traga nenhum benefício real.

    
por 10.08.2010 / 19:07
5

Você pode querer procurar o problema de distribuição de chaves (o Google revela muitas informações), pois os problemas que você descreveu são fundamentais para muitas criptografia teórica e prática. Geralmente, o nome de usuário não é considerado secreto; para muitos sites, ele consiste em um endereço de e-mail e, para muitos estabelecimentos acadêmicos, consiste nas iniciais de um aluno com sufixo de um número inteiro de exclusividade. Isso faz com que nomes de usuários sejam fáceis de descobrir. De fato, alguns estabelecimentos acadêmicos os utilizam ativa e publicamente para se referirem aos alunos. A senha é a mais importante, claro, nesse tipo de segurança. Ele deve ser definido para um valor inicial (a menos que você possa garantir que a senha inicial seja inserida pelo aluno em condições controladas, como após o registro inicial), e isso deve ser alterado pelo aluno ao fazer o login pela primeira vez. forçado, caso contrário não há como saber se a senha já foi comprometida. Se o aluno fizer login com sucesso e alterar a senha, não importa se a senha já foi lida, pois agora ela foi alterada. Se o aluno não conseguir entrar, a senha pode ter sido comprometida e, portanto, isso será detectável. Esse é o mesmo método básico usado pelos bancos para emitir PINs para cartões de crédito - embora a maioria das pessoas não se preocupe em alterar o PIN para o qual foram enviadas.

É importante garantir que os alunos façam logon pelo menos uma vez, para alterar a senha - talvez enviando seu horário ou algo por e-mail (se o e-mail estiver vinculado à conta do sistema) ou copiando um arquivo para o usuário área.

A equipe nunca deve receber a senha, e isso deve ser imposto em todo o site. Na verdade, ninguém, exceto o aluno, deve saber a senha.

Quanto à distribuição da senha inicial, você pode imprimir uma carta para cada aluno e pedir a eles para coletá-la (embora isso leve muito tempo), distribuí-la a tutores ou mentores (lacrados - embora não forneça a segurança, impondo a alteração da senha, garantirá que uma senha não tenha sido clonada) ou a publicará em seu endereço. Eu não iria imprimir uma lista de senhas a qualquer momento.

    
por 09.08.2010 / 20:26
1

Eu não conheço o estado em que você está, mas se você está falando de uma escola pública, onde estamos, tínhamos a diretiva de que precisávamos mudar as senhas dos auditores do estado. Esse foi o requisito que me foi dado, de qualquer forma.

No nosso caso, tivemos requisitos mínimos de complexidade e requisitos de envelhecimento impostos a nós.

Tudo foi definido com o Active Directory, onde você pode configurá-lo para forçar uma alteração de senha no primeiro login e por quanto tempo entre alterações de senha (para nós três meses). Complexidade para o nosso era algo como não a mesma senha que os três últimos usados, não pode ter seu nome ou nome de usuário como parte da senha, deve ter um número / pontuação / cap / mix minúsculas (alguma mistura dos três). / p>

Dessa forma, quando os usuários precisam de uma senha alterada, nós a alteramos para algo genérico (Resetme54321, por exemplo) e, na primeira vez que eles fazem login, ela solicita a alteração da senha.

Também temos políticas que devem ser seguidas; professores não são para ter as senhas (alguns têm que por certas razões eu não vou entrar), mas é claro ... ou tentamos deixar claro ... que, se a conta de Johnny é usado para entrar em uma parte ou picar em lugares que não deveria estar, Johnny é chamado para o diretor. Se um professor também tiver a senha, também poderá ter problemas, já que eles tiveram acesso a essa conta. Então, se o johnnydoe foi encontrado navegando em sites de pornografia ou material de fabricação de bombas online ... qualquer um com essa informação de conta é suspeito.

Mais uma vez ... não conhece suas circunstâncias particulares, mas se você estiver com um sistema de ensino público e seu departamento de auditores tiver verificado seus sistemas, convém verificar com eles quais são os requisitos antes de você Auditado, ou verificar com o equivalente do estado de uma IU (unidade intermediária ... para PA, eles fazem coisas como fornecer serviços de tecnologia e estado para uma região de escolas. Treinamento. Um aqui perto faz vendas de licenciamento de software. Consulta, manutenção de servidor, hosting ... Você pode pesquisar na unidade intermediária da pensilvânia por exemplos do que os diferentes oferecem.) Estados diferentes provavelmente fazem coisas diferentes.

    
por 09.08.2010 / 20:05

Tags

Como posso descobrir se a porta 25 está bloqueada na minha rede? sys requisito de equipe administrativa para mais de 100 redes