Si mi contraseña pudo imprimirse en un formulario enviado a casa desde la escuela de mi hijo, ¿implica políticas inseguras de almacenamiento de contraseñas?

Navega tus respuestas
155

Tengo una cuenta de usuario para cada uno de mis hijos en el sitio web de nuestro distrito, que supervisa el registro, calificaciones, identificación, etc.

Hace poco me enviaron a casa un formulario de los dos salones de clase de mis hijos pidiéndonos que iniciemos sesión en nuestras cuentas para que podamos firmar un nuevo formulario para el año escolar. En esta hoja de papel se imprimió el nombre de usuario y la contraseña de nuestras cuentas.

La práctica de seguridad de enviar contraseñas impresas a casa es inmediatamente desalentadora, pero mi mayor preocupación es cómo se almacena mi contraseña en el sistema del distrito (y, en última instancia, qué pasaría si ese sistema estuviera comprometido).

Quiero comunicarme con el webmaster, pero quiero asegurarme de que estoy en lo cierto en cualquier suposición que haga antes de disparar mi correo electrónico y pedir que se tomen medidas para evitar este tipo de cosas. Vi una pregunta relacionada , y quiero asegurarme de no saltar el arma al acosarlos sobre sus políticas de almacenamiento.

-

Dado que se le ha pedido varias veces, esta es una contraseña que configuré en la cuenta, no una contraseña generada automáticamente. Además, esta es una cuenta que los padres controlan; contiene información de identificación sensible de su hijo. No está pensado como un portal de estudiantes ni nada por el estilo.

-

Update_1 :

Recibí una llamada del administrador del sitio web del distrito hoy, deseando hablar sobre mi correo electrónico con más detalle. Expliqué que mis preocupaciones eran dobles: (a) la transmisión de nuestra contraseña en un papel impreso, y (b) la capacidad de recuperar esa contraseña en primer lugar.

Me informaron que el sistema es un sistema heredado y, como tal, no tiene la capacidad de permitir una función de "olvidé mi contraseña". Si bien la política, acordaron, es incorrecta, la alternativa es que todos los padres que no recuerden su contraseña ingresen a la escuela con una identificación para recuperar su contraseña. (También me informaron que dado que estamos en un distrito con una pobreza del 60%, asumiendo que todos los padres tienen una dirección de correo electrónico para la administración de contraseñas no es una opción). Si bien esto es un inconveniente increíble, expliqué el inconveniente de que alguien tenga acceso a mis cuentas porque tenían acceso a mi contraseña.

También me informaron que el sistema se reemplazará el próximo año, que vendrá con características de seguridad más modernas (sin embargo, no estoy seguro de las políticas de almacenamiento en el futuro del sistema).

La señora fue muy educada y se ofreció a ponerme en contacto con su director de TI para discutir mis inquietudes sobre las políticas de almacenamiento de contraseñas, que acepté. También se ofreció a BCC en un correo electrónico al director de nuestra escuela, solicitando que las comunicaciones futuras se emitan en un formato sellado.

Finalmente, en primer lugar me regañaron un poco (y correctamente) por reutilizar mi contraseña.

    
pregunta MrDuk 24.08.2018 - 17:09
fuente

3 respuestas

254

¡Sí! Si son capaces de recuperar la contraseña de la base de datos, entonces claramente no están siguiendo las mejores prácticas de almacenamiento de contraseñas. OWASP proporciona una buena guía sobre cómo hacerlo correctamente:

Aquí hay algunas municiones que podrías usar en esa carta:

  • Quiere que yo (el tutor legal de mi hijo) firme un formulario.
  • Está utilizando la acción de iniciar sesión en un sitio web y hacer clic en un botón como una forma de firma legal.
  • ¿Cómo sabes que en realidad fui yo quien inició sesión y presionó el botón?
  • ¿Cuántas personas tuvieron acceso a la hoja con el nombre de usuario y la contraseña en mi camino? ¿Cómo puedes probar que en realidad fui yo quien inició sesión y pulsó el botón?
  • Claramente, la contraseña se almacena en la base de datos de tal manera que puede ser recuperada por el personal de la junta escolar. ¿Cómo puedes probar que en realidad fui yo quien inició sesión y pulsó el botón?
  • Si algo sale mal, dudo mucho que la "firma" se mantenga en el tribunal, lo que significa que el formulario no se presentará en el tribunal. Esto parece ser un problema de responsabilidad para la junta escolar y / o para mí (según lo que esté en el formulario).
  • ¿Puedo obtener una declaración del equipo legal de la junta escolar de que esto está bien?
respondido por el Mike Ounsworth 24.08.2018 - 17:29
fuente
22

NOTA: dado que la pregunta se actualizó para especificar que el alumno no usó la contraseña en cuestión y que no fue una contraseña inicial aleatoria, el resto de esta respuesta realmente no se aplica . Estoy de acuerdo con las otras respuestas de que las contraseñas de los padres deben almacenarse con técnicas estándar de hash de iteración. Los obstáculos que enfrentará el distrito escolar para implementar este plan son mucho menos que el equivalente para las contraseñas de los estudiantes.

Hablando de la experiencia dentro de la tecnología de la información K-12, puedo decirte que la situación es probablemente peor de lo que imaginas.

Antes de que empieces a presionar por un cambio, ten en cuenta que estás luchando contra un sistema gigante, no una sola escuela o distrito. Hay algunos puntos brillantes, es básicamente un reino donde la sabiduría de seguridad estándar no se aplica. La mitad de los proveedores no han oído hablar de ninguna opción moderna de almacenamiento de contraseñas o autenticación federada. Muchos de los estudiantes son demasiado jóvenes para manejar una contraseña con una cantidad importante de entropía.

Y lo más importante de todo, las escuelas son más ruidosas que cualquier dictadura de hojalata. Los administradores quieren tener la posibilidad de ingresar a las cuentas de los estudiantes cada vez que piensan que algo podría estar mal. La única forma de hacerlo, en todos los servicios con sus diferentes esquemas de autenticación obsoletos, es conocer la contraseña.

Si se encuentra presentando su queja a alguien que realmente debe responder sus preguntas, permítame sugerir algunas:

  1. ¿Cuántos empleados de la escuela tienen acceso para ver las contraseñas de los estudiantes?
  2. ¿Hay algún registro que muestre la frecuencia con la que se vio la contraseña de un estudiante y por qué miembros del personal?
  3. ¿Hay algún registro de qué miembros del personal han usado las contraseñas de los estudiantes para iniciar sesión en las cuentas de los estudiantes y a qué servicios accedieron?
  4. ¿Cuántas bases de datos diferentes dentro del distrito escolar contienen copias de las contraseñas de los estudiantes (sin cifrar, sin cifrar)?
  5. ¿Se cambian las contraseñas de los estudiantes de manera proactiva (ya sea después de un tiempo de vencimiento o por parte del estudiante por iniciativa propia) o permanecen iguales para siempre, en ausencia de una violación notificada?
  6. ¿Ha habido una prueba de penetración ... en algo ... alguna vez?
  7. ¿A cuántos terceros (por ejemplo, editores de libros de texto en línea) se les ha dado una lista completa de las contraseñas de los estudiantes y / o acceso remoto completo a una base de datos que los contiene?
  8. Al considerar la compra de un nuevo producto o servicio que involucre el inicio de sesión de los estudiantes, ¿las prácticas de seguridad de la información son un factor en la decisión?

No esperes buenas respuestas. Espere malas respuestas y planifique su próximo movimiento con anticipación.

Y no espere sorprenderlos con HIPAA y FERPA. Han oído hablar de ellos, y su abogado probablemente ya les ha dicho que todo lo que están haciendo está bien.

    
respondido por el anon-insider 25.08.2018 - 04:40
fuente
13

¿Es esta una contraseña que ingresó o es una contraseña inicial generada al azar que tendrá que cambiar la primera vez que inicie sesión?

En el primer caso, esto es un signo de prácticas de seguridad absolutamente terribles que levanta casi todas las banderas rojas imaginables. Este es un agujero de seguridad masivo y debe abordarse de inmediato. Además, debería en este momento cambiar esta contraseña en cualquier otro lugar donde la use (seamos honestos, todos reutilizamos las contraseñas).

Esto también debe ser informado a la persona responsable de la seguridad de la información en la escuela. O el principio. Básicamente, la persona cuya carrera está en peligro si ocurre una violación y hace noticias nacionales.

En el segundo caso, esto es SOP, no hay nada que ver, seguir adelante.

    
respondido por el Tom 25.08.2018 - 11:47
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguras son realmente las máquinas virtuales? ¿Falsa sensación de seguridad? ¿Se pueden encender las cámaras web sin el indicador luminoso?