Cli*_*ore 3 password-management bulk user-accounts
当您批量创建用户登录时,设置密码,因为许多用户不太可能更改密码,您如何传播信息?
我们学部的学生在注册后会自动分配一个用户名和密码。我知道有些学校会打印出一大堆用户名和密码,并将它们保存在活页夹中(而且,据推测,班主任会分发学生的登录信息)。 [是的,我知道用户应该能够创建自己的密码。迄今为止,这项工作是站不住脚的,而且,不幸的是,我不确定我们可以在技术上或社会上改变事情有多容易,更不用说一些学生不经常使用计算机,并且没有很好的机会设置一个新密码,使他们的帐户容易受到任何可以确定其用户名(不难)并登录的人的攻击。]
虽然我知道这些不是高安全性密码,但我想保证它们的安全。我也发现工作人员问,“这个帐户什么时候创建?” (学生正确注册后几个小时,谢谢)和密码是什么(我不知道我的头顶)。如果不是那么不安全,最好将新密码通过电子邮件发送给秘书(以及年初的整个列表,就此而言)。我会使用加密,但是,由于办公室工作人员的技术能力范围很广,我讨厌试图解释如何解密文件。我真的不想以印刷形式分发信息,因为它不安全并且列表需要到达十几个站点。我们确实有一个系统工作人员可以登录以查找学生,但它没有
是否有关于如何负责任地分发登录信息的建议?
小智 5
您可能想要查找密钥分发问题(Google 揭示了大量信息),因为您概述的问题是许多理论和实践密码学的基础。通常用户名不被认为是秘密的;对于许多网站,它由电子邮件地址组成,对于许多学术机构,它由学生的姓名首字母组成,后缀为整数以保持唯一性。这往往会使用户名易于查找。事实上,一些学术机构积极和公开地使用它们来指代学生。当然,在这种类型的安全性中,密码是最重要的。它应该设置为初始值(除非您可以确保初始密码将由学生在受控条件下输入,例如初始注册后),并且这应该由学生在第一次登录时更改。这应该被强制执行,否则无法知道密码是否已经被泄露。如果学生登录成功并更改了密码,则之前是否已阅读密码都没有关系,因为现在已更改密码。如果学生无法登录,则密码可能已泄露,因此可以检测到。这与银行用来为信用卡发放 PIN 的基本方法相同——尽管大多数人不会费心更改已发送的 PIN。现在已更改。如果学生无法登录,则密码可能已泄露,因此可以检测到。这与银行用来为信用卡发放 PIN 的基本方法相同——尽管大多数人不会费心更改已发送的 PIN。现在已更改。如果学生无法登录,则密码可能已泄露,因此可以检测到。这与银行用来为信用卡发放 PIN 的基本方法相同——尽管大多数人不会费心更改已发送的 PIN。
重要的是确保学生至少登录一次,以更改密码 - 可能通过电子邮件发送他们的时间表或其他内容(如果电子邮件链接到系统帐户),或者将文件复制到用户区。
永远不应该告诉员工密码,这应该在整个站点范围内强制执行。事实上,除了学生之外,没有人应该知道密码。
至于初始密码的分发,你可以给每个学生打印一封信,让他们收集(虽然这会花费很多时间),分发给导师或导师(密封——虽然不提供任何安全性,强制执行)密码更改将确保密码未被克隆),或将其发布到他们的地址。我真的不会在任何时候打印密码列表。
| 归档时间: |
|
| 查看次数: |
642 次 |
| 最近记录: |