ИТ-персонал в школе спрашивает пароли

Question

В прошлый раз, когда я был в офисе ИТ в моей школе, я заметил, что они спрашивают пароли учеников. Я думаю, что у студента либо была переустановлена операционная система, либо заменена клавиатура, хотя я точно не помню. В любом случае, договор, который мы должны подписать, чтобы получить доступ к школьной сети / школьным компьютерам (которые мы должны подписать), гласит (переведено):

Пароль является личным и должен храниться в секрете. Если есть подозрение или знание того, что кто-то еще получает доступ к паролю, студент должен немедленно изменить свой пароль.

В договоре ничего не говорится об этом, если он не применяется, если сотрудники запрашивают ваш пароль, поэтому я отправил следующее электронное письмо школьному ИТ-персоналу (опять же, перевод с норвежского):

Привет,

На прошлой неделе я заметил, что ИТ-персонал в школе поощрял учащихся нарушать подписанный ими ИТ-контракт. Студентка была в ИТ-офисе (я не помню, почему, но я думаю, что это была переустановка операционной системы или замена клавиатуры), и ее попросили записать свой пароль на заметке. В разделе 3 "Идентификационные данные и пароль пользователя" в контракте говорится следующее:

Пароль является личным и должен храниться в секрете. Если есть подозрение или знание того, что кто-то еще получает доступ к паролю, студент должен немедленно изменить свой пароль. Я думаю, что этот эпизод является явным нарушением ИТ-контракта и демонстрирует непрофессиональное отношение к безопасности.

С уважением, Хенрик Ходне

Сегодня я получил следующий ответ (переведен еще раз):

Привет! Обычно вы были бы правы в отношении передачи вашего пароля другим. Однако, когда дело доходит до ИТ-персонала, все немного по-другому.

Мы можем изменить пароли всех студентов и сотрудников, и поэтому у нас есть техническая возможность получить доступ к их ресурсам.

Поэтому мы решили позволить учащемуся решить, хотят ли они, чтобы мы изменили пароль для него, когда мы работаем на машине, или они хотят сохранить свой пароль, и в этом случае мы записываем его на заметку.

С уважением, [Имя ИТ-персонала], ИТ

Как вы думаете, я должен ответить? Должен ли я просто отпустить? Я все еще думаю, что они неправильно спрашивают пароль, еще более неправильно записывать его, и мне нечего беспокоиться о том, что они получат доступ к моим данным.

Answer 1

Предыдущие ответы кажутся в основном тональными: «они могут получить доступ к вашим файлам в любом случае, поэтому не имеет значения, есть ли у них ваш пароль». Это неверно Многие пользователи повторно используют пароли или генерируют их в соответствии с очевидной схемой (например, добавляя "1" к "12", чтобы помешать политике ротации паролей в вашей школе, или используя «pass-so» в StackOverflow, «pass-su» в SuperUser, так далее.). Если такой пользователь передает свой пароль ИТ-персоналу школы, он не только предоставляет им возможность доступа к информации, к которой ИТ-персонал уже может получить доступ с помощью своих привилегий администратора, но и предоставляет доступ к другим, не связанным с этим ресурсам, которые ИТ-персонал не имеет ни административного доступа, ни законных оснований для доступа.

Кроме того, всегда есть возможность мошенничества и социальной инженерии - я не знаю о вас, но мои спам-фильтры постоянно получают ответ «Привет, я из персонала вашего почтового сервера, и мне нужны имя вашей учетной записи и пароль для какая-то нелепая причина или другие "попытки фишинга". Гораздо проще и эффективнее научить пользователей, что они никогда не должны никому сообщать свои пароли, чем сначала создать исключение для ИТ-персонала, а затем ожидать, что они смогут правильно и последовательно определять, имеют ли они дело с реальными ИТ-персонал или с самозванцами.

Наконец, запись сведений об учетной записи в заметке post-it (которая, вероятно, привязана к самой машине, что позволяет любому прохожему легко определить, где эти учетные данные будут использоваться), серьезно усугубляет проблему, если только post-it и обе машины находятся в безопасном месте (так что только ИТ-персонал может получить к ним доступ), и после этого они уничтожаются (измельчаются, продуваются пламенем и т. д.), прежде чем покинуть безопасную зону.

Правильный курс для ИТ-персонала - не только прекратить запрашивать пароли пользователей, но и использовать тот же подход, что и PayPal (среди прочих, но они первыми приходят на ум) и сказать пользователям: «Мы никогда не будем просить вас пароль; любой, кто заявляет, что он из ИТ-персонала и спрашивает ваш пароль, лжет, так что не давайте его им ". Там нет времени, как в настоящее время, чтобы начать учить студентов хорошим навыкам безопасности. Школы не должны учить противоположному.

Answer 2

Вы можете попросить их обновить Условия предоставления услуг, предоставив исключение для ИТ-отдела, но с условием, что, когда студент, которого проинформируют [о том, что может быть назначен новый пароль), решит предоставить ему свой текущий пароль, ИТ-персонал также будет нести ответственность за защиту этого пароля от кражи, наблюдение со стороны неавторизованной третьей стороны и т. д. (также важны положения об уничтожении рукописных паролей, таких как перекрестные шредеры и временные рамки).

В дополнение к устранению технического нарушения Условий предоставления услуг, это решение также имеет смысл для конечных пользователей, поскольку большинство в любом случае склонны доверять ИТ-персоналу конфиденциальную информацию (например, пароли).

Answer 3

Я думаю, что в случае с ИТ-персоналом все немного по-другому. Некоторые (но, возможно, не все) из них смогут сбросить ваш пароль и получить доступ к вашим данным. Таким образом, теоретически, если они хотят видеть ваши данные, они могут (хотя, если они настроили профили правильно, они в любом случае смогут, или по крайней мере одна учетная запись будет)
Я согласен с вами в вопросе о паролях, это неправильно и является плохой практикой. Что произойдет, если пароль будет сброшен, ИТ-персонал сделает свою работу, пароль будет изменен при следующем входе в систему, и студент введет выбранный пароль. (Это, однако, является недействительным, если последние пароли не могут быть выбраны снова в течение определенного времени, однако в учебных заведениях, где я работал, этот флаг обычно отключен по умолчанию, так как у студентов, как правило, возникают проблемы с подъемом по утрам, по крайней мере, утром. всего вспомнить й количество различных паролей и сохранить их вращение)
Возможно, стоит поговорить с вашим ИТ-отделом и предложить это.
Тем не менее, я думаю, что этот вопрос может быть закрыт, и это скорее дискуссия вики сообщества по аналогии с тем, неправильно ли спрашивают администраторы домена пароль пользователя.

Answer 4

Вы должны отправить их по почте, чтобы изменить там правило договора об этом. Если они хотят получить доступ к вашему ПК и хотят проверить данные, они должны упомянуть об этом до подписания контракта. В соответствии с вашим контрактом это действительно неправильно, так как они упомянули об этом в контракте и не сказали, что это правило не применимо к ИТ-отделу.

У них должна быть законная причина для доступа к вашей системе. Если они хотят знать пароль время от времени (если вы меняете пароль в любом случае), им следует разрешить менять его более 12 раз. Там должно быть изменение в контрактной бумаге, что на самом деле сделает это легко.

What if the IT staff know the password

В моем случае я никогда не сталкивался с какими-либо проблемами, когда любой сотрудник ИТ-отдела знает пароль моего компьютера. Им просто нужно получить доступ к моей учетной записи и проверить данные моей. Так что с тобой тоже не должно быть проблем, я тоже так думаю.
Они были указаны в контракте, что если они хотят знать пароль, мы должны были предоставить их в любых условиях. Если какие-либо подозрительные данные будут обнаружены в моем аккаунте, они прекратят его.

Теперь в вашем случае, если они захотят проверить ваши данные, вы можете запросить у них доступ к ним в вашем присутствии (если они согласны не знать о пароле).

Но все же есть лучший способ изменить список контрактов, чтобы студентам было яснее, что в будущем им не следует сталкиваться с этой проблемой.