web-dev-qa-db-fra.com

Si mon mot de passe a pu être imprimé sur un formulaire envoyé à la maison par l'école de mon enfant, cela implique-t-il des politiques de stockage de mot de passe non sécurisées?

J'ai un compte d'utilisateur pour chacun de mes enfants sur notre site Web de district, qui supervise l'inscription, les notes, l'identification, etc.

J'ai récemment reçu chez moi un formulaire des deux salles de classe de mes enfants nous demandant de nous connecter à nos comptes afin que nous puissions signer un nouveau formulaire pour l'année scolaire. Le nom d'utilisateur et le mot de passe de nos comptes étaient imprimés sur cette feuille de papier.

La pratique de sécurité consistant à envoyer des mots de passe imprimés à domicile est immédiatement décourageante, mais ma plus grande préoccupation est de savoir comment mon mot de passe est stocké dans le système du district (et, finalement, que se passerait-il si ce système était compromis).

Je veux contacter le webmaster, mais je veux m'assurer que j'ai raison dans toutes les hypothèses que je fais avant de tirer sur mon e-mail en demandant que des mesures soient prises pour éviter ce genre de chose. J'ai vu ne question connexe , et je veux m'assurer de ne pas sauter le pistolet en les harcelant sur leurs politiques de stockage.

-

Puisqu'il a été demandé plusieurs fois, c'est un mot de passe que j'ai défini sur le compte, pas un mot de passe généré automatiquement. C'est aussi un compte que les parents contrôlent; il contient des informations d'identification sensibles de votre enfant. Il n'est pas conçu comme un portail étudiant ou quelque chose comme ça.

-

Update_1 :

J'ai reçu un appel du webmaster du district aujourd'hui, souhaitant discuter de mon e-mail plus en détail. J'ai expliqué que mes préoccupations étaient doubles: (a) la transmission de notre mot de passe sur une feuille de papier imprimée, et (b) la possibilité de récupérer ce mot de passe en premier lieu.

J'ai été informé que le système est un système hérité, et en tant que tel, il n'a pas la possibilité d'autoriser une fonction "oublié mon mot de passe". Bien que la politique, ils ont convenu, soit incorrecte, l'alternative est que tous les parents qui ne se souviennent pas de leur mot de passe viennent à l'école avec une pièce d'identité pour récupérer leur mot de passe. (J'ai également été informé que puisque nous sommes dans un district de pauvreté de 60%, en supposant que tous les parents ont une adresse e-mail pour la gestion des mots de passe n'est pas une option). Bien que cela soit incroyablement gênant, j'ai expliqué l'inconvénient d'avoir également quelqu'un qui accède à mes comptes parce qu'il avait accès à mon mot de passe.

J'ai également été informé que le système sera remplacé l'année prochaine, ce qui viendra avec des fonctionnalités de sécurité plus modernes (bien que je ne sois pas sûr des politiques de stockage sur le futur système).

La dame était très polie et m'a proposé de me mettre en contact avec leur directeur informatique pour discuter de mes préoccupations concernant les politiques de stockage des mots de passe, ce que j'ai accepté. Elle m'a également offert un BCC par e-mail à la direction de notre école, demandant que les futures communications soient publiées dans un format scellé.

Enfin, j'ai été légèrement (et correctement) réprimandé pour avoir réutilisé mon mot de passe en premier lieu.

passwordsweb-application
153
MrDuk

Ouaip! S'ils sont capables de récupérer le mot de passe de la base de données, ils ne suivent clairement pas les meilleures pratiques de stockage de mot de passe. OWASP fournit un bon guide pour le faire correctement:

Voici quelques munitions que vous pourriez utiliser dans cette lettre:

  • Vous voulez que je (le tuteur légal de mon enfant) signe un formulaire.
  • Vous utilisez l'action de vous connecter à un site Web et de cliquer sur un bouton comme forme de signature légale.
  • Comment savez-vous que c'est moi qui ai ouvert une session et cliqué sur le bouton?
  • Combien de personnes ont eu accès à la fiche avec le nom d'utilisateur et le mot de passe en route vers moi? Comment pouvez-vous prouver que c'est bien moi qui me suis connecté et cliqué sur le bouton?
  • Il est clair que le mot de passe est stocké dans la base de données de manière à pouvoir être récupéré par le personnel de la commission scolaire. Comment pouvez-vous prouver que c'est bien moi qui me suis connecté et cliqué sur le bouton?
  • En cas de problème, je doute fortement que la "signature" tienne le coup, ce qui signifie que le formulaire ne tiendra pas devant le tribunal. Cela semble être un problème de responsabilité pour la commission scolaire et/ou pour moi (selon le contenu du formulaire).
  • Puis-je obtenir une déclaration de l'équipe juridique de la commission scolaire que c'est ok?
252
Mike Ounsworth

REMARQUE: puisque la question a été mise à jour pour spécifier que le mot de passe en question n'est pas utilisé par l'élève et n'était pas un mot de passe initial aléatoire, le reste de cette réponse ne s'applique pas vraiment. Je suis d'accord avec les autres réponses selon lesquelles les mots de passe parents devraient être stockés avec des techniques de hachage salées-itérées standard. Les obstacles auxquels le district scolaire sera confronté dans la mise en œuvre de ce plan sont bien inférieurs à l'équivalent des mots de passe des élèves.

Parlant de mon expérience dans les technologies de l'information K-12, je peux vous dire que la situation est probablement pire que vous ne l'imaginez.

Avant de commencer à faire pression pour le changement, sachez que vous combattez un système géant, pas une seule école ou un seul district. Il y a quelques points lumineux, c'est essentiellement un domaine où la sagesse de sécurité standard ne s'applique pas. La moitié des fournisseurs n'ont entendu parler d'aucune option de stockage de mot de passe moderne ou d'authentification fédérée. Beaucoup d'étudiants sont trop jeunes pour gérer un mot de passe avec une sérieuse entropie.

Et le plus important de tous, les écoles sont plus étranges que toute dictature de fer-blanc. Les administrateurs veulent pouvoir accéder aux comptes des étudiants chaque fois qu'ils pensent que quelque chose ne va pas. La seule façon de le faire, dans tous les services avec leurs différents schémas d'authentification obsolètes, est de connaître le mot de passe.

Si vous vous trouvez à déposer une plainte auprès d'une personne qui est réellement tenue de répondre à vos questions, permettez-moi d'en suggérer quelques-unes:

  1. Combien d'employés de l'école ont accès aux mots de passe des élèves?
  2. Existe-t-il un dossier indiquant la fréquence à laquelle le mot de passe d'un élève a été consulté et par quels membres du personnel?
  3. Existe-t-il un enregistrement des membres du personnel qui ont utilisé les mots de passe des étudiants pour se connecter à quels comptes étudiants et à quels services ils ont accédé?
  4. Combien de bases de données différentes dans le district scolaire contiennent des copies des mots de passe des élèves (non chiffrés, non hachés)?
  5. Les mots de passe des étudiants sont-ils modifiés de manière proactive (soit après un délai d'expiration, soit par l'étudiant de sa propre initiative) ou restent-ils inchangés pour toujours, en l'absence de violation signalée?
  6. Y a-t-il eu un test de pénétration ... sur quoi que ce soit ... jamais?
  7. Combien de tiers (par exemple, des éditeurs de manuels en ligne) ont reçu une liste complète des mots de passe des étudiants et/ou un accès à distance complet à une base de données les contenant?
  8. Lorsque vous envisagez d'acheter un nouveau produit ou service qui impliquera des connexions d'étudiants, les pratiques de sécurité des informations sont-elles un facteur dans la décision?

Ne vous attendez pas à de bonnes réponses. Attendez-vous à de mauvaises réponses et planifiez votre prochain déménagement à l'avance.

Et ne vous attendez pas à les surprendre avec HIPAA et FERPA. Ils en ont entendu parler et leur avocat leur a probablement déjà dit que tout ce qu'ils faisaient allait bien.

22
anon-insider

S'agit-il d'un mot de passe que vous avez entré ou s'agit-il d'un mot de passe initial généré de manière aléatoire que vous devrez modifier lors de la première connexion?

Dans le premier cas, c'est le signe de pratiques de sécurité absolument terribles qui soulèvent à peu près tous les drapeaux rouges imaginables. Il s'agit d'un énorme trou de sécurité et doit être résolu immédiatement. De plus, vous devriez en ce moment changer ce mot de passe partout où vous l'utilisez (soyons honnêtes, nous réutilisons tous les mots de passe).

Cela doit également être porté à l'attention de quiconque est responsable de la sécurité des informations à l'école. Ou le principe. Fondamentalement, la personne dont la carrière est en danger si une infraction se produit et fait l'actualité nationale.

Dans le deuxième cas, c'est SOP, rien à voir, continuez.

12
Tom