Il portale della scuola dei miei figli è in violazione di qualsiasi regola Password / ID utente?

Naviga le tue risposte
6

La scuola dei miei figli invia sia ID e PW per un portale attraverso USPS in varie occasioni durante l'anno, (ad esempio la registrazione della classe), sia che ne abbia bisogno o meno.

Se cambio la password, invia una conferma via email con userid e password.

Il portale ha informazioni su tutti gli studenti come compleanni, indirizzi, voti, ecc. Ha anche informazioni su eventi scolastici, indirizzi degli insegnanti, ecc.

Questo sembra assolutamente che stiano infrangendo alcune regole, ma le richieste al direttore IT della scuola non sono state restituite. Ho in programma di intensificare, ma vorrei essere armato con specifiche su vere violazioni e / o rischi.

    
posta CathyS 28.05.2012 - 19:31
fonte

3 risposte

6

Certamente non sembra una buona pratica, ma non sono sicuro che stia violando le leggi. Immagino che tu venga dagli Stati Uniti, quindi esistono leggi sulla protezione dei dati, ma non sono definite come vorremmo - come nel Regno Unito la guida tende a usare parole come "protezione appropriata".

Dovresti essere in grado di usare l'argomento che se continuano a inviare posta cartacea o e-mail che hanno sia nome utente che password, potrebbero finire per soffrire non solo una multa, ma anche un considerevole danno alla reputazione. A seconda dello stato in cui ti trovi, alcuni richiedono la divulgazione pubblica di informazioni sensibili, ma anche in caso contrario, i genitori passeranno parola!

L'aspettativa dovrebbe essere che due messaggi dovrebbero essere intercettati per ottenere l'accesso non autorizzato. E sarebbe ancora meglio se uno fosse di USPS e uno per email, richiedendo così a un utente malintenzionato di compromettere due forme di comunicazione, ma che potrebbe essere eccessivamente complessa per una scuola.

    
risposta data 28.05.2012 - 19:41
fonte
2

Solo un po 'di sicurezza di buon senso, non fidarti mai dei siti web in cui ti mandano via email la tua password scelta (non generata casualmente). Nessuno dovrebbe conoscere la tua password, nemmeno il sito web. Se conoscono la tua password, significa solo che la memorizzano in chiaro. Un sito Web sicuro conoscerà e archivierà un hash della tua password per poterlo verificare. Quando si accede, il sito Web può calcolare un altro hash in base all'input e confrontare i due hash. Se corrispondono, la password è corretta, in caso contrario, non lo è.

    
risposta data 28.05.2012 - 20:11
fonte
0

L'invio del nome utente e della password in e-mail in chiaro è una cattiva pratica, ma non so se sia illegale o meno.

Per determinare se potrebbe violare qualsiasi legge o regolamento, puoi consultare FERPA . Le istituzioni educative sono soggette agli speciali requisiti di conformità di FERPA. La FERPA tende ad applicarsi alle istituzioni educative che ricevono finanziamenti dal governo degli Stati Uniti. FERPA impone regole severe sull'accesso agli archivi degli studenti, quindi le pratiche della tua scuola potrebbero innescare i problemi di conformità alla FERPA che potresti sollevare con la scuola. Devi però investigare le specifiche del fatto che la FERPA si applichi personalmente a questa situazione.

    
risposta data 29.05.2012 - 00:39
fonte

Leggi altre domande sui tag

Quali misure di sicurezza avere prima di consentire apertamente ai ricercatori di sicurezza di hackerare il tuo sito Come posso impedire la divulgazione di dati privati al di fuori della mia organizzazione?