我最近从我两个孩子的教室收到一张表格,要求我们登录到我们的帐户,以便我们可以签署新的学年表。这张纸上印有我们帐户的用户名和密码。系统(最终,如果该系统遭到破坏会发生什么)。
我想联系网站管理员,但我想确保我在删除电子邮件之前所做的任何假设中都是正确的,要求采取措施避免此类事情。我看到了一个相关的问题,并希望确保我不会因为骚扰他们的存储政策而大惊小怪。 ,这是我在帐户上设置的密码,而不是自动生成的密码。另外,这是父母控制的帐户;它包含您孩子的敏感识别信息。它不是作为学生门户或类似用途的。
-
Update_1:
我接到了今天是本地区的网站管理员,想详细讨论我的电子邮件。我解释了我的担忧有两个方面:(a)在打印的纸上传输我们的密码,以及(b)首先能够检索该密码。
我被告知该系统是旧系统,因此不具备允许“忘记密码”功能的功能。他们一致认为这项政策是不正确的,但是另一种选择是让每个不记得密码的父母带着一个ID进入学校,以获取密码。 (我还被告知,由于我们处于60%的贫困地区,因此假设所有父母都有用于密码管理的电子邮件地址是不可行的)。尽管这是非常令人不便的麻烦,但我解释了由于有人可以访问我的密码而使我同样访问帐户的不便。具有更现代的安全功能(尽管,我不确定未来系统的存储策略)。我对密码存储政策的担忧,已被我接受。她还通过给我们学校校长的电子邮件向BCC提出了我的要求,要求以后以密封形式发布通讯。
最后,我因一再使用我的密码而受到轻微(正确)的责骂。
#1 楼
对!如果他们能够从数据库中检索密码,则显然他们没有遵循密码存储的最佳实践。 OWASP为正确执行操作提供了很好的指南:https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
这封信中可以使用一些弹药:
您要我(我孩子的法定监护人)签署表格。进入网站并单击作为法律签名形式的按钮。
您怎么知道实际上是我登录并单击了按钮?
有多少人可以使用用户名和通往我的密码?您怎么能证明实际上是我登录并单击了按钮?
很明显,密码以这样一种方式存储在数据库中,以便学校董事会工作人员可以检索。你怎么能证明实际上是我登录并单击了按钮?对于学校董事会和/或对我来说,这似乎是一个责任问题(取决于表格中的内容)。
我可以从学校董事会的法律团队中声明这可以吗? />
评论
要点列表非常有帮助,并且提供了明确的逻辑路径以得出结论,这是不正确的。
– MrDuk
18年8月24日在15:36
纯文本密码应位于用户控制范围之外的确切位置。在接收加密版本并生成加盐哈希以进行比较或存储的过程中。如果密码本身以任何形式,在任何地方存储,是否加密,是否安全,都有遭受某种形式攻击的风险。这包括用户的系统,但这是他们的风险,对他们的数据来说,他们可以选择承担适当的风险,而网站则没有这种权利。
–user135823
18年8月24日在19:11
@MontyHarder我特别想避免攻击他们的IT做法,因为IT人员非常擅长从{防火墙,加密,仅管理员,受信任的员工等}制作单词,并且认为他们的解决方案足够好。这就是为什么我提出一个严格以律师为中心的论点,即他们构建系统的方式无法实现收集具有法律约束力的签名的基本功能。
–麦克·恩斯沃思(Mike Ounsworth)
18年8月27日在18:48
FERPA的东西
–累计
18年8月27日在20:47
@AlexanderKosubek世界上接受纸质签名作为...签名的历史由来已久,整个法医行业都在围绕确定签名是否为假。我认为那是不一样的...
–麦克·恩斯沃思(Mike Ounsworth)
18年8月28日在10:42
#2 楼
注意:由于已更新问题以指定学生未使用所涉及的密码,并且该密码不是随机的初始密码,因此此答案的其余部分实际上并不适用。我同意其他答案,即父母密码应使用标准的盐化哈希散列技术进行存储。学区在实施该计划时将面临的障碍远远少于学生密码的等效障碍。从K-12信息技术方面的经验来看,我可以告诉您情况可能比可以想象。
在开始寻求变革之前,请注意您正在与一个庞大的系统作战,而不是一所学校或地区。有一些亮点,这基本上是标准安全知识不适用的领域。一半的供应商还没有听说过任何现代的密码存储选项或联合身份验证。许多学生还太年轻,无法处理带有任何严重熵的密码。管理员希望能够在认为有问题的任何时候进入学生帐户。在具有各种过时身份验证方案的所有服务中,唯一的方法就是知道密码。
如果您发现自己向实际上需要回答问题的人投诉,请让我建议几个:
有多少名学校员工可以查看学生密码?
是否有记录显示查看学生密码的频率以及哪个人员成员吗?
是否有记录记录哪些员工使用学生密码登录到哪些学生帐户以及他们访问了哪些服务?
学区内有多少个不同的数据库包含(未加密,未隐藏的)学生密码?
是在没有报告的违规情况下主动更改学生密码(在过期后还是由学生主动更改)还是永久不变?
是否进行了渗透测试...
有多少个第三方(例如在线教科书出版商)获得了学生密码的完整列表和/或对包含密码的数据库进行完全远程访问?
在考虑购买时涉及学生登录的新产品或服务中,信息安全实践是否会成为决定的一个因素?
不要期望好的答案。期待错误的答案,并提前计划下一步行动。
不要期望HIPAA和FERPA会让他们感到惊讶。他们听说过这些,他们的律师可能已经告诉他们他们所做的一切都很好。
评论
9.学生记录中是否包含任何与健康相关的信息?违反HIPAA的行为可能会非常昂贵。
– WGroleau
18年8月25日在3:11
“有多少学校员工有权查看学生密码?”只是一个轶事,强调了这一点的重要性,我碰巧认识了一位老先生,直到几年前,他几乎所有东西都使用他的SSN作为密码。他根本不知道密码可以被破解,因此他的推理只是使用了他已经一直保密的东西。此密码或其他任何敏感信息都可能在密码字段中,如果有人看到密码的纯文本9位数字...那么,您可以想象一下,这对于不知情的父母有多糟糕。
–戴维M
18年8月26日在3:07
@DavyM这就是为什么存储密码应被处以犯罪者生命期末的惩罚,因为有些不称职的网站将发布该绅士的密码。
– gnasher729
18年8月27日在13:37
工作人员没有理由使用学生密码登录学生帐户。没有。一个经过适当设计的系统可以允许特权帐户(“管理员”或“根”)临时假定另一个帐户的身份,而无需知道该帐户的密码,并记录该情况的发生,因此不会发生身份盗用的情况。完成。如果所讨论的系统不是如此设计的,那么这进一步证明了架构师和管理员正在“做错了”。
– Monty Harder
18年8月27日在18:43
如果所讨论的系统不是如此设计的-我看到您没有在K12中工作。有时我认为“做错了”是我们的口号。但是严重的是,K12资金通常很糟糕,从安全的角度来看,有很多软件很糟糕。
– Zoredache
18年8月27日在19:51
#3 楼
这是您输入的密码,还是在首次登录时必须更改的随机生成的初始密码?在第一种情况下,这表明安全做法绝对可怕,几乎引发了所有可以想象到的危险信号。这是一个巨大的安全漏洞,需要立即解决。另外,您现在应该在其他任何使用它的地方都更改此密码(说实话,我们都重复使用了密码)。学校的安全。还是原则。基本上,如果发生违规行为并发布国家新闻,其职业将面临危险。
评论
注释澄清这是您的第一种情况。 “从儿童教室寄回家”的传递方法意味着,在将信交给学生带回家之前,这封信是由潜在的几名员工打印和处理的。如果是自动生成的电子邮件公告,我会接受“没什么可看的”;如果是总部发送的一封蜗牛邮件,我可能会接受“甚至可以容忍”,但是在这里看起来,甚至不是好
–user135823
18年8月25日在14:37
评论
评论不作进一步讨论;此对话已移至聊天。哇!这就是您所希望的那样好的响应!我印象深刻!