it-swarm.com.de

Wenn mein Passwort auf einem Formular gedruckt werden konnte, das von der Schule meines Kindes nach Hause geschickt wurde, bedeutet dies unsichere Richtlinien zur Speicherung von Passwörtern?

Ich habe ein Benutzerkonto für jedes meiner Kinder auf unserer Distrikt-Website, das die Registrierung, die Noten, die Identifizierung usw. überwacht.

Vor kurzem wurde mir ein Formular aus beiden Klassenzimmern meiner Kinder nach Hause geschickt, in dem wir gebeten wurden, uns bei unseren Konten anzumelden, damit wir ein neues Schuljahresformular unterschreiben können. Auf diesem Blatt Papier waren sowohl der Benutzername als auch das Passwort für unsere Konten aufgedruckt.

Die Sicherheitspraxis, gedruckte Passwörter nach Hause zu senden, ist sofort entmutigend, aber meine größere Sorge ist, wie mein Passwort im Distriktsystem gespeichert wird (und was letztendlich passieren würde, wenn dieses System kompromittiert würde).

Ich möchte den Webmaster kontaktieren, aber ich möchte sicherstellen, dass alle Annahmen, die ich mache, korrekt sind, bevor ich meine E-Mail abschieße und darum bitte, Maßnahmen zu ergreifen, um solche Dinge zu vermeiden. Ich habe eine verwandte Frage gesehen und möchte sicherstellen, dass ich nicht die Waffe springe, wenn ich sie wegen ihrer Speicherrichtlinien belästige.

- -

Da es mehrmals gefragt wurde, ist dies ein Passwort, das ich für das Konto festgelegt habe, kein automatisch generiertes Passwort. Dies ist auch ein Konto, das die Eltern kontrollieren. Es enthält vertrauliche identifizierende Informationen Ihres Kindes. Es ist nicht als Studentenportal oder ähnliches gedacht.

- -

Update_1 :

Ich habe heute einen Anruf vom Distrikt-Webmaster erhalten, um meine E-Mail genauer zu besprechen. Ich erklärte, meine Bedenken seien zweifach: (a) die Übermittlung unseres Passworts auf einem gedruckten Blatt Papier und (b) die Möglichkeit, dieses Passwort überhaupt abzurufen.

Ich wurde informiert, dass das System ein Legacy-System ist und daher keine Funktion zum Zulassen des Kennworts "Passwort vergessen" zulässt. Obwohl die Richtlinie, so stimmten sie zu, falsch ist, besteht die Alternative darin, dass alle Eltern, die sich nicht an ihr Passwort erinnern, mit einem Ausweis in die Schule kommen, um ihr Passwort abzurufen. (Ich wurde auch darüber informiert, dass es keine Option ist, dass alle Eltern eine E-Mail-Adresse für die Passwortverwaltung haben, da wir uns in einem 60% igen Armutsviertel befinden.) Obwohl dies unglaublich unpraktisch ist, erklärte ich die Unannehmlichkeit, dass jemand ebenfalls auf meine Konten zugreifen kann, weil er Zugriff auf mein Passwort hat.

Ich wurde auch darüber informiert, dass das System nächstes Jahr ersetzt wird, das mit moderneren Sicherheitsfunktionen ausgestattet sein wird (ich bin mir jedoch nicht sicher, welche Speicherrichtlinien für das zukünftige System gelten).

Die Dame war sehr höflich und bot mir an, mich mit ihrem IT-Direktor in Verbindung zu setzen, um meine Bedenken hinsichtlich der Richtlinien zur Speicherung von Passwörtern zu besprechen, die ich akzeptierte. Sie bot mir BCC auch per E-Mail an unseren Schulleiter an und forderte, dass zukünftige Mitteilungen in einem versiegelten Format ausgestellt werden.

Schließlich wurde ich leicht (und richtig) beschimpft, weil ich mein Passwort überhaupt wiederverwendet hatte.

153
MrDuk

Jep! Wenn sie das Kennwort aus der Datenbank abrufen können, befolgen sie eindeutig nicht die Best Practices für die Kennwortspeicherung. OWASP bietet eine gute Anleitung, wie man es richtig macht:


Hier ist etwas Munition, die Sie in diesem Brief verwenden könnten:

  • Sie möchten, dass ich (der Erziehungsberechtigte meines Kindes) ein Formular unterschreibe.
  • Sie verwenden die Aktion, sich bei einer Website anzumelden und auf eine Schaltfläche als Form der rechtlichen Signatur zu klicken.
  • Woher weißt du, dass ich mich angemeldet und auf die Schaltfläche geklickt habe?
  • Wie viele Personen hatten auf dem Weg zu mir Zugriff auf das Blatt mit dem Benutzernamen und dem Passwort? Wie können Sie beweisen, dass ich mich tatsächlich angemeldet und auf die Schaltfläche geklickt habe?
  • Das Passwort wird eindeutig so in der Datenbank gespeichert, dass es von den Mitarbeitern der Schulbehörde abgerufen werden kann. Wie können Sie beweisen, dass ich mich tatsächlich angemeldet und auf die Schaltfläche geklickt habe?
  • Sollte etwas schief gehen, bezweifle ich sehr, dass die "Unterschrift" vor Gericht Bestand haben würde, was bedeutet, dass das Formular vor Gericht nicht Bestand haben wird. Dies scheint ein Haftungsproblem für die Schulbehörde und/oder für mich zu sein (je nachdem, was in der Form enthalten ist).
  • Kann ich vom Rechtsteam der Schulbehörde eine Erklärung erhalten, dass dies in Ordnung ist?
252
Mike Ounsworth

HINWEIS : Da die Frage aktualisiert wurde, um anzugeben, dass das betreffende Passwort nicht vom Schüler verwendet wird und kein zufälliges Anfangspasswort war, trifft der Rest dieser Antwort nicht wirklich zu. Ich stimme den anderen Antworten zu, dass übergeordnete Passwörter mit Standard-Salted-Iterated-Hash-Techniken gespeichert werden sollten. Die Hindernisse, mit denen der Schulbezirk bei der Umsetzung dieses Plans konfrontiert sein wird, sind weitaus geringer als die für Schülerpasswörter.

Aus Erfahrung in der K-12-Informationstechnologie kann ich Ihnen sagen, dass die Situation wahrscheinlich schlimmer ist, als Sie sich vorstellen.

Bevor Sie sich für Veränderungen einsetzen, sollten Sie sich bewusst sein, dass Sie gegen ein riesiges System kämpfen, nicht gegen eine einzelne Schule oder einen Bezirk. Es gibt einige Lichtblicke, es ist im Grunde ein Bereich, in dem die Standard-Sicherheitsweisheit nicht gilt. Die Hälfte der Anbieter hat noch nichts von modernen Kennwortspeicheroptionen oder Verbundauthentifizierung gehört. Viele der Schüler sind zu jung, um mit einem Passwort mit ernsthafter Entropie umzugehen.

Und vor allem sind Schulen neugieriger als jede Zinn-Topf-Diktatur. Administratoren möchten die Möglichkeit haben, jederzeit auf Studentenkonten zuzugreifen, wenn sie glauben, dass etwas nicht stimmt. Die einzige Möglichkeit, dies für alle Dienste mit ihren verschiedenen veralteten Authentifizierungsschemata zu tun, besteht darin, das Kennwort zu kennen.

Wenn Sie Ihre Beschwerde bei jemandem einreichen, der tatsächlich zur Beantwortung Ihrer Fragen verpflichtet ist, möchte ich einige vorschlagen:

  1. Wie viele Schulmitarbeiter haben Zugriff auf das Anzeigen von Schülerpasswörtern?
  2. Gibt es Aufzeichnungen darüber, wie oft und von welchen Mitarbeitern das Passwort eines Schülers angezeigt wurde?
  3. Gibt es Aufzeichnungen darüber, welche Mitarbeiter Studentenpasswörter verwendet haben, um sich bei welchen Studentenkonten anzumelden, und auf welche Dienste sie zugegriffen haben?
  4. Wie viele verschiedene Datenbanken im Schulbezirk enthalten Kopien der (unverschlüsselten, nicht verwaschenen) Schülerpasswörter?
  5. Werden Schülerpasswörter jemals proaktiv geändert (entweder nach Ablauf einer Zeit oder vom Schüler auf eigene Initiative) oder bleiben sie für immer gleich, wenn kein Verstoß gemeldet wird?
  6. Hat es jemals einen Penetrationstest gegeben?
  7. Wie vielen Dritten (z. B. Online-Lehrbuchverlegern) wurde eine vollständige Liste der Schülerpasswörter und/oder der vollständige Fernzugriff auf eine Datenbank mit diesen Passwörtern erteilt?
  8. Sind Informationssicherheitspraktiken bei der Entscheidung über den Kauf eines neuen Produkts oder einer neuen Dienstleistung, bei der sich Schüler anmelden müssen, jemals ein Entscheidungsfaktor?

Erwarten Sie keine guten Antworten. Erwarten Sie schlechte Antworten und planen Sie Ihren nächsten Schritt im Voraus.

Und erwarten Sie nicht, sie mit HIPAA und FERPA zu überraschen. Sie haben davon gehört, und ihr Anwalt hat ihnen wahrscheinlich bereits gesagt, dass alles, was sie tun, in Ordnung ist.

22
anon-insider

Ist dies ein Passwort, das Sie eingegeben haben, oder ist es ein zufällig generiertes anfängliches Passwort, das Sie beim ersten Login ändern müssen?

Im ersten Fall ist dies ein Zeichen für absolut schreckliche Sicherheitspraktiken, die so ziemlich jede erdenkliche rote Fahne hissen. Dies ist eine massive Sicherheitslücke und muss sofort behoben werden. Außerdem sollten Sie im Moment dieses Passwort überall dort ändern, wo Sie es verwenden (seien wir ehrlich, wir alle verwenden Passwörter wieder).

Dies muss auch denjenigen zur Kenntnis gebracht werden, die für die Informationssicherheit in der Schule verantwortlich sind. Oder das Prinzip. Grundsätzlich die Person, deren Karriere in Gefahr ist, wenn ein Verstoß auftritt und nationale Nachrichten macht.

Im zweiten Fall ist dies SOP, nichts zu sehen, weiterzumachen.

12
Tom