Se la mia password è stata stampata su un modulo inviato a casa dalla scuola di mio / a figlio / a, implica politiche di archiviazione della password non sicure?

Naviga le tue risposte
155

Ho un account utente per ciascuno dei miei figli nel nostro sito web del distretto, che controlla la registrazione, i voti, l'identificazione, ecc.

Recentemente ho inviato a casa un modulo di entrambe le classi dei miei figli, chiedendoci di accedere ai nostri account in modo da poter firmare un nuovo anno scolastico. Stampato su questo pezzo di carta era sia il nome utente che la password per i nostri account.

La pratica della sicurezza di inviare password stampate a casa è immediatamente scoraggiante, ma la mia più grande preoccupazione è come la mia password è memorizzata nel sistema distrettuale (e in definitiva, cosa succederebbe se quel sistema fosse compromesso).

Desidero contattare il webmaster, ma voglio assicurarmi di essere corretto in ogni ipotesi che ho fatto prima di sparare via la mia e-mail chiedendo che venga intrapresa un'azione per evitare questo genere di cose. Ho visto una domanda correlata , e voglio essere certo di non saltare la pistola per molestarli sulle loro politiche di archiviazione.

-

Poiché è stato chiesto più volte, questa è una password che ho impostato sull'account, non una password generata automaticamente. Inoltre, questo è un account controllato dai genitori; contiene informazioni identificative sensibili del tuo bambino. Non è inteso come un portale per studenti o qualcosa del genere.

-

Update_1 :

Oggi ho ricevuto una chiamata dal webmaster del distretto, che desiderava discutere più dettagliatamente la mia email. Ho spiegato che le mie preoccupazioni erano duplici: (a) la trasmissione della nostra password su un pezzo di carta stampato e (b) la possibilità di recuperare quella password in primo luogo.

Sono stato informato che il sistema è un sistema legacy e, in quanto tale, non ha la capacità di consentire la funzionalità "forgot my password". Mentre la politica, hanno convenuto, non è corretta, l'alternativa è quella di avere tutti i genitori che non ricordano la loro password entrano nella scuola con un ID per recuperare la loro password. (Sono stato anche informato che dal momento che siamo in un distretto di povertà del 60%, supponendo che tutti i genitori abbiano un indirizzo email per la gestione delle password non è un'opzione). Anche se questo è incredibile e sconveniente, ho spiegato l'inconveniente di avere qualcuno che acceda ai miei account perché hanno accesso alla mia password.

Mi è stato inoltre comunicato che il sistema verrà sostituito l'anno prossimo, con funzionalità di sicurezza più moderne (anche se non sono sicuro delle politiche di archiviazione sul sistema futuro).

La signora è stata molto gentile e si è offerta di mettermi in contatto con il loro direttore IT per discutere delle mie preoccupazioni riguardo le politiche di archiviazione delle password, che ho accettato. Mi ha anche offerto a BCC una e-mail al nostro preside della scuola, chiedendo che le future comunicazioni vengano emesse in un formato sigillato.

Infine, sono stato leggermente (e correttamente) rimproverato per aver riutilizzato la mia password in primo luogo.

    
posta MrDuk 24.08.2018 - 17:09
fonte

3 risposte

254

Yup! Se sono in grado di recuperare la password dal database, chiaramente non seguono le migliori pratiche di archiviazione delle password. OWASP fornisce una buona guida su come farlo correttamente:

Ecco alcune munizioni che potresti usare in quella lettera:

  • Vuoi che io (il tutore legale di mio figlio) firmi un modulo.
  • Stai utilizzando l'azione di accesso a un sito Web e fai clic su un pulsante come forma di firma legale.
  • Come sai che in realtà ero io che ho effettuato l'accesso e ho fatto clic sul pulsante?
  • Quante persone hanno avuto accesso al foglio con il nome utente e la password in arrivo? Come puoi dimostrare che ero in realtà io che ho effettuato l'accesso e ho fatto clic sul pulsante?
  • Chiaramente la password è memorizzata nel database in modo tale che possa essere recuperata dal personale del consiglio scolastico. Come puoi dimostrare che ero in realtà io che ho effettuato l'accesso e ho fatto clic sul pulsante?
  • C'era qualcosa che non andava, dubito strongmente che la "firma" reggerebbe in tribunale, il che significa che il modulo non reggerà in tribunale. Questo sembra un problema di responsabilità per il consiglio scolastico e / o per me (a seconda di cosa c'è nel modulo).
  • Posso ottenere una dichiarazione dal team legale del consiglio scolastico che questo è ok?
risposta data 24.08.2018 - 17:29
fonte
22

NOTA: poiché la domanda è stata aggiornata per specificare che la password in questione non è utilizzata dallo studente e non era una password iniziale casuale, il resto di questa risposta non si applica . Concordo con le altre risposte che le password dei genitori dovrebbero essere archiviate con tecniche di hash standard salate-iterate. Gli ostacoli che il distretto scolastico dovrà affrontare nell'attuazione di questo piano sono molto inferiori all'equivalente per le password degli studenti.

Parlando dall'esperienza nella tecnologia dell'informazione K-12, posso dire che la situazione è probabilmente peggiore di quanto immagini.

Prima di iniziare a spingere per il cambiamento, sii consapevole del fatto che stai combattendo un sistema gigantesco, non una singola scuola o distretto. Ci sono alcuni punti luminosi, è fondamentalmente un regno in cui la saggezza della sicurezza standard non si applica. La metà dei venditori non ha mai sentito di alcuna moderna opzione di memorizzazione della password o autenticazione federata. Molti studenti sono troppo giovani per gestire una password con una quantità seria di entropia.

E la cosa più importante di tutte è che le scuole sono più ordinate di qualsiasi dittatura di stagno. Gli amministratori vogliono la possibilità di entrare nei conti degli studenti ogni volta che pensano che qualcosa potrebbe essere sbagliato. L'unico modo per farlo, attraverso tutti i servizi con i loro vari schemi di autenticazione obsoleti, è conoscere la password.

Se ti accetti di presentare il tuo reclamo a qualcuno che in realtà è tenuto a rispondere alle tue domande, lascia che ne suggerisca alcuni:

  1. Quanti studenti hanno accesso per visualizzare le password degli studenti?
  2. C'è qualche registrazione che mostra quanto spesso è stata visualizzata la password di uno studente e da quale membro dello staff?
  3. C'è una registrazione di quali membri del personale hanno usato password per accedere a quali account degli studenti e quali servizi hanno accesso?
  4. Quanti diversi database all'interno del distretto scolastico contengono copie delle password degli studenti (non criptate, non modificate)?
  5. Le password degli studenti sono mai cambiate in modo proattivo (o dopo una scadenza o dallo studente di propria iniziativa) o rimangono invariate per sempre, in assenza di una violazione segnalata?
  6. C'è stato un test di penetrazione ... su qualsiasi cosa ... mai?
  7. Quante terze parti (ad esempio gli editori di libri di testo online) hanno ricevuto un elenco completo delle password degli studenti e / o l'accesso remoto completo a un database che le contiene?
  8. Quando si considera l'acquisto di un nuovo prodotto o servizio che coinvolgerà gli accessi degli studenti, le pratiche di sicurezza delle informazioni sono sempre un fattore decisivo?

Non aspettarti buone risposte. Aspettati risposte sbagliate e pianifica la tua prossima mossa in anticipo.

E non aspettarti di sorprenderli con HIPAA e FERPA. Ne hanno sentito parlare, e probabilmente il loro avvocato ha già detto loro che tutto quello che stanno facendo va bene.

    
risposta data 25.08.2018 - 04:40
fonte
13

Questa è una password che hai inserito, o è una password iniziale generata a caso che dovrai modificare al primo accesso?

Nel primo caso, questo è un segno di pratiche di sicurezza assolutamente terribili che solleva praticamente ogni bandiera rossa immaginabile. Questo è un enorme buco di sicurezza e deve essere risolto immediatamente. Inoltre, dovresti adesso cambiare questa password ovunque tu voglia utilizzarla (siamo onesti, riutilizziamo tutte le password).

Anche questo deve essere portato all'attenzione di chiunque sia responsabile della sicurezza delle informazioni nella scuola. O il principio. Fondamentalmente la persona la cui carriera è in pericolo se si verifica una violazione e fa notizia nazionale.

Nel secondo caso, questo è SOP, niente da vedere, andare avanti.

    
risposta data 25.08.2018 - 11:47
fonte

Leggi altre domande sui tag

Quanto sono sicure le macchine virtuali? Falso senso di sicurezza? In che modo le chiavette USB possono essere pericolose?