¿El portal de la escuela de mi hijo está violando alguna regla de Contraseña / ID de usuario?

6

La escuela de mi hijo envía ID y PW para un portal a través de USPS en varias ocasiones durante el año, (por ejemplo, registro de clase) ya sea que lo necesite o no.

Si cambio la contraseña, envía una confirmación por correo electrónico con el ID de usuario y la contraseña.

El portal tiene información sobre todos los estudiantes, como cumpleaños, direcciones, calificaciones, etc. También tiene información sobre eventos escolares, direcciones de maestros, etc.

Esto se siente como si estuvieran infringiendo algunas reglas, pero no se han respondido las preguntas al Director de TI de la escuela. Planeo escalar, pero me gustaría armarme con información específica sobre violaciones y / o riesgos verdaderos.

    
pregunta CathyS 28.05.2012 - 19:31
fuente

3 respuestas

6

Ciertamente no suena como la mejor práctica, pero no estoy seguro de si necesariamente está violando alguna ley. Supongo que usted es de EE. UU., Por lo que existen leyes de protección de datos, pero no están tan definidas como nos gustaría, al igual que en el Reino Unido, la guía tiende a usar palabras como "protección adecuada".

Debería poder utilizar el argumento de que si continúan enviando correos impresos o de correo electrónico que tienen un nombre de usuario y una contraseña, podrían terminar sufriendo no solo una gran multa, sino también un daño considerable a la reputación. Dependiendo del estado en el que se encuentre, algunos requieren la divulgación pública de información confidencial, pero incluso si no es así, ¡los padres pasarán la voz!

La expectativa debería ser que dos mensajes deban ser interceptados para obtener acceso no autorizado. Y sería aún mejor si uno fuera por USPS y el otro por correo electrónico, por lo que se requiere que un atacante comprometa dos formas de comunicación, pero eso podría ser demasiado complejo para una escuela.

    
respondido por el Rory Alsop 28.05.2012 - 19:41
fuente
2

Solo un poco de seguridad de sentido común, nunca confíe en los sitios web en los que le envíen la contraseña elegida (no una generada al azar). Nadie debe saber su contraseña, ni siquiera el sitio web. Si conocen su contraseña, solo significa que la almacenan en texto claro. Un sitio web seguro, con mucho, sabrá y almacenará un hash de su contraseña para poder verificarla. Cuando inicia sesión, el sitio web puede calcular otro hash en función de su entrada y comparar los dos hashes. Si coinciden, la contraseña es correcta, si no, no lo es.

    
respondido por el Silviu 28.05.2012 - 20:11
fuente
0

El envío del nombre de usuario y la contraseña en un correo electrónico de texto simple es una mala práctica, pero no sé si es ilegal o no.

Para determinar si podría violar alguna ley o reglamento, puede consultar FERPA . Las instituciones educativas están sujetas a requisitos especiales de cumplimiento bajo FERPA. FERPA tiende a aplicarse a instituciones educativas que reciben fondos del gobierno de los Estados Unidos. FERPA impone regulaciones estrictas sobre el acceso a los registros de los estudiantes, por lo que las prácticas de su escuela podrían desencadenar problemas de cumplimiento de FERPA que usted podría plantear con la escuela. Sin embargo, tiene que investigar los detalles de si FERPA se aplica a esta situación.

    
respondido por el D.W. 29.05.2012 - 00:39
fuente

Lea otras preguntas en las etiquetas