sar*_*dne 6 security passwords
我上次在学校 IT 办公室时注意到,他们要求提供学生的密码。我认为学生要么重新安装了操作系统,要么更换了键盘,但我记不清了。无论如何,我们必须签署的合同才能访问学校网络/学校计算机(我们基本上需要签署)这样说(翻译):
密码是个人的,应保密。如果怀疑或知道其他人获得了密码,学生应立即更改其密码。
合同没有说明如果工作人员要求您提供密码则不适用,因此我向学校的 IT 工作人员发送了以下电子邮件(再次,从挪威语翻译):
你好,
上周我注意到学校的 IT 员工鼓励学生违反他们签署的 IT 合同。一个学生在 IT 办公室(我不记得为什么,但我认为是重新安装操作系统或更换键盘),并被要求在便利贴上写下她的密码。在第 3 节“用户身份和密码”下,合同规定如下:
密码是个人的,应保密。如果怀疑或知道其他人获得了密码,学生应立即更改其密码。我认为这件事明显违反了 IT 合同,表现出对安全的不专业态度。
问候, 莎拉·霍德
今天收到如下回复(再次翻译):
你好!通常,您将密码泄露给他人是正确的。但是,当涉及到 IT 人员时,情况略有不同。
我们能够更改所有学生和教职员工的密码,因此我们具有访问他们资源的技术能力。
因此,我们决定让学生决定,当我们在机器上工作时,他们是否希望我们为他们更改密码,或者他们是否希望保留他们的密码,在这种情况下,我们将其写在便签上。
问候,[IT 人员姓名],IT
你觉得我应该怎么回答?我应该放手吗?我仍然认为他们要求密码是错误的,写下来更错误,我担心他们获得我的数据。
Dav*_*man 14
以前的答案似乎主要是“他们无论如何都可以访问您的文件,因此他们是否拥有您的密码并不重要”。这是不正确的。许多用户重复使用密码或根据明显的方案生成密码(例如,将“1”附加到“12”以挫败学校的密码轮换政策或在 StackOverflow 上使用“pass-so”,在 SuperUser 上使用“pass-su”,等等。)。如果此类用户将其密码提供给学校的 IT 员工,他们不仅可以访问 IT 员工已经可以通过其管理员权限访问的信息,而且还可以访问其他不相关的资源IT 人员既没有管理员访问权限,也没有任何合法理由能够访问。
此外,欺诈和社会工程的可能性始终存在 - 我不了解您,但是我的垃圾邮件过滤器不断地收到“嗨,我来自您电子邮件服务器的员工,我需要您的帐户名和密码才能一些荒谬的原因或其他”网络钓鱼尝试。告诉用户他们绝对不应该将密码提供给任何人比首先为 IT 人员制定一个例外然后期望他们能够正确和一致地确定他们是否正在处理实际的密码要容易和有效得多。 IT 人员或冒名顶替者。
最后,将帐户详细信息写在便利贴上(它可能粘在机器本身上,使任何路人都可以轻松识别这些凭据的可用位置)严重加剧了问题,除非便利贴和机器都保存在安全位置(以便只有 IT 人员可以访问它们)并且在离开安全区域之前销毁便利贴(切碎、用火焰吹扫等)。
正确的做法是让 IT 人员不仅停止要求用户密码,而且采取与 PayPal 相同的方法(其中包括,但他们是第一个想到的)并告诉用户“我们永远不会要求您密码;任何声称来自 IT 人员并要求您提供密码的人都是在撒谎,所以不要将其提供给他们”。没有时间像现在这样开始教学生良好的安全习惯。所有地方的学校都不应该教相反的东西。
| 归档时间: |
|
| 查看次数: |
810 次 |
| 最近记录: |