Equipe de TI na escola pedindo passwords

Eu notei a última vez que eu estava no escritório de TI da minha escola que eles pediram as passwords do aluno. Eu acho que o aluno era ter o operating system reinstalado, ou o keyboard substituído, não consigo me lembrair com certeza. De qualquer forma, o contrato que temos de assinair paira obter access à networking da escola / computadores escolaires (que basicamente precisamos assinair) diz isso (traduzido):

A senha é pessoal e deve ser mantida em segredo. Se uma suspeita ou conhecimento de outra pessoa ter access à senha, o aluno deve mudair sua senha imediatamente.

  • Seguro usair numbers altos de portas? (re: obscurecer os services da web)
  • Impedir o malwaire de cheirair a senha sudo
  • Windows - Descreva o file criptografado quando a conta do user é destruída
  • Qual é a maneira mais fácil de detectair e excluir "Cookies Flash"
  • Como meus clientes podem facilmente enviair passwords de forma segura?
  • Como obter o endereço IP real de alguém usando um proxy?
  • O contrato não diz nada sobre isso não se aplicair se a equipe solicitair sua senha, então enviei o seguinte email paira a equipe de TI da escola (novamente, traduzida do norueguês):

    Oi,

    Na semana passada, notei que a equipe de TI na escola incentivou os alunos a violairem o contrato de TI que eles assinairam. Um aluno estava no escritório de TI (não consigo lembrair o porquê, mas acho que foi uma reinstallation do operating system ou uma substituição do keyboard), e foi solicitado a escreview sua senha em uma nota adesiva. Na seção 3, "Identidade do user e senha", o contrato estabelece o seguinte:

    A senha é pessoal e deve ser mantida em segredo. Se uma suspeita ou conhecimento de outra pessoa ter access à senha, o aluno deve mudair sua senha imediatamente. Eu acho que este episódio é uma claira violação do contrato de TI e mostra uma atitude pouco profissional em relação à security.

    Saudações, Henrik Hodne

    Hoje, recebi a seguinte resposta (traduzida novamente):

    Oi! Normalmente, você seria correto sobre a entrega da senha paira outros. No entanto, quando se trata da equipe de TI, as coisas são ligeiramente diferentes.

    Podemos mudair as passwords de todos os alunos e funcionários, e, portanto, temos uma habilidade técnica paira acessair seus resources.

    Portanto, decidimos deixair o aluno decidir se eles querem que mudemos a senha paira eles quando trabalhairmos na máquina, ou se eles quiserem manter sua senha, caso em que a escreviewemos em uma nota adesiva.

    Saudações, [Nome da equipe de TI], IT

    O que você acha que eu deviewia responder? Devo deixá-lo ir? Ainda penso que é errado que eles perguntem a senha, ainda mais errado paira anotá-la, e não tem nada comigo preocupado com o access a meus dados.

  • A mudança de um PC "all-in-one" quando ativado / desativado é perigoso?
  • Como posso obter um user novo / não técnico paira viewificair meu email com o GnuPG / PGP?
  • Como impede o Ubuntu de colocair meu monitor paira dormir?
  • Por que não devemos abrir uma image em um e-mail?
  • O Administrador não é um Administrador?
  • Quão perigoso pode o JavaScript ser?
  • 4 Solutions collect form web for “Equipe de TI na escola pedindo passwords”

    As respostas anteriores pairecem ser principalmente do tom "eles podem acessair seus files de qualquer forma, por isso não importa se eles tiviewem sua senha". Isso está incorreto. Muitos users reutilizam passwords ou geram de acordo com um esquema óbvio (por exemplo, acrescentando "1" a "12" paira cancelair a política de rotation de senha da sua escola ou usando "pass-so" no StackOviewflow, "pass-su" no SuperUser, etc.). Se esse user fornecer sua senha paira a equipe de TI da escola, eles não estão apenas fornecendo a capacidade de acessair informações que a equipe de TI já pode acessair por meio de seus privilégios de administrador, mas também estão fornecendo access a outros resources não relacionados que A equipe de TI não tem nenhum access de administrador nem nenhuma razão legítima paira poder acessair.

    Além disso, sempre existe a possibilidade de fraude e engenhairia social – não sei sobre você, mas meus filters de spam pegam uma pressão constante de "Oi, eu sou da equipe do seu server de e-mail e preciso do seu nome de conta e senha paira algum motivo ridículo ou outras "tentativas de phishing". É muito mais fácil e mais eficaz ensinair aos users que eles nunca devem dair suas passwords a ninguém do que é criair uma exception paira a equipe de TI e esperair que eles possam determinair de forma correta e consistente se eles estão lidando com o real Pessoal de TI ou com impostores.

    Finalmente, escrevendo os detalhes da conta em uma nota post-it (o que é provavelmente preso à máquina em si, facilitando que qualquer transeunte identifique onde essas cnetworkingnciais serão utilizáveis) agrupa seriamente o problema, a less que o post-it e o a máquina é mantida em um local seguro (de modo que apenas a equipe de TI possa ter access a eles) e o post-it é destruído (rasgado, purgado com chama, etc.) antes de deixair a área segura.

    O curso correto é paira a equipe de TI paira não apenas pairair de solicitair passwords de users, mas também ter a mesma abordagem do PayPal (entre outros, mas eles são os primeiros a se lembrair) e dizer aos users "nós nunca pediremos sua senha, qualquer pessoa que alega ser da equipe de TI e pede sua senha está mentindo, então não dê a eles ". Não há tempo como o presente paira começair a ensinair aos alunos bons hábitos de security. As escolas, de todos os lugaires, não devem ser ensinando o contrário.

    Você poderia pedir-lhes paira atualizair os Termos de Serviço com uma isenção paira o depairtamento de TI, mas com a condição de que quando um estudante informado [que uma nova senha possa ser atribuída] opte por fornecer-lhes sua senha atual, que a equipe de TI também assumiria a responsabilidade de proteger essa senha contra roubo, observação por terceiros não autorizados, etc. (também são importantes as cláusulas sobre a destruição de passwords manuscritas, como trituradores cruzados e cronogramas ).

    Além de resolview uma violação técnica dos Termos de Serviço, esta solução também faz sentido paira os users finais porque a maioria tende a confiair naturalmente na equipe de TI com informações confidenciais (como passwords) de qualquer maneira.

    Eu acho que com o caso da equipe de TI é um pouco diferente. Alguns (mas talvez nem todos) deles serão capazes de networkingfinir sua senha e acessair seus dados. Então, em teoria, se eles queriam view seus dados, eles poderiam (embora, se eles configurassem os perfis corretamente, eles poderiam ser capazes de qualquer forma, ou pelo less uma conta)
    Eu concordo com você na pergunta de senha, é errado e é uma má prática. O que deve acontecer é a senha é reiniciada, a equipe de TI faz seu trabalho, a senha está configurada paira ser alterada no próximo logon e o aluno insere a senha escolhida. (No entanto, é nula e sem efeito se as últimas passwords não podem ser escolhidas novamente por um determinado período de tempo, no entanto, nos estabelecimentos educativos que eu trabalhei nesta bandeira geralmente está fora por padrão, pois os alunos tendem a ter problemas paira se levantair pelo less pela manhã de todos lembrando x quantidade de passwords diferentes e paira continuair girando)
    Pode valer a pena falair com o seu depairtamento de TI e sugerir isso.
    No entanto, eu acho que essa questão pode ser fechada e é mais uma discussão da comunidade wiki ao longo das linhas, é errado paira os administradores de domínio pedir uma senha de user.

    Você deve enviá-los paira mudair a regra do contrato sobre isso. Se quiserem acessair seu PC e quiser viewificair os dados, devem ter que mencioná-lo antes de assinairem o contrato. De acordo com o seu contrato, isso é realmente errado, pois eles também o mencionairam no contrato e eles não disseram que esta regra não é aplicável no depairtamento de TI.

    Eles devem ter motivos legais paira acessair seu sistema. Se eles quiserem saber a hora da senha de vez em quando (se você alterair sua senha, em qualquer caso), eles devem permitir mudá-la mais de 12 vezes. Deve haview mudança no documento do contrato, o realty tornairá isso fácil.

    What if the IT staff know the password

    No meu caso, nunca enfrentei qualquer problema quando qualquer membro da equipe de TI conhece a senha do meu PC. Eles só precisam acessair minha conta e viewificair os dados do meu. Então, não deviewia haview nenhum problema com você também. Eu acho que sim.
    Eles haviam sido listdos em seu contrato que se eles queriam saber a senha, então devemos dair-lhes em qualquer condição. Se algum dado suspeito encontrair na minha conta, eles cessairão.

    Agora, no seu caso, se eles quiserem viewificair seus dados, você pode solicitair que eles acessem isso em sua presença (se eles constringrem em não saber sobre a senha).

    Mas todo o path é a melhor maneira de mudair a list de contratos paira ser mais clairo paira um aluno que, no futuro, eles não devem enfrentair esse problema.

    Nós somos o genio da rede de computadores, vamos consertar as questões de hardware e software do computador juntos.