学校的IT人员要求输入密码[关闭]

我注意到上一次我在学校的IT办公室时，他们要求输入学生的密码。我认为学生要么重新安装了操作系统，要么更换了键盘，但是我不确定。无论如何，我们必须签署的合同才能访问学校网络/学校计算机（我们基本上需要签署此协议）说（翻译）：

密码是个人密码，应保密。如果怀疑或知道他人可以使用该密码，则学生应立即更改其密码。

合同中没有任何内容说明如果员工要求您输入密码，这将不适用，因此我向学校的IT员工发送了以下电子邮件（再次由挪威语翻译）：

嗨，

上周，我注意到学校的IT员工鼓励学生违反他们所签署的IT合同。一个学生当时在IT办公室（我不记得为什么，但是我认为这是操作系统的重新安装或键盘的替换），并被要求在便笺上写下她的密码。在第3节“用户身份和密码”下，合同规定以下内容：

密码是个人密码，应保密。如果怀疑或知道他人可以使用该密码，则学生应立即更改其密码。我认为这一事件明显违反了IT合同，并且显示出对安全性的不专业态度。

问候，亨里克·霍德内

今天，我收到以下答复（再次翻译）：

嗨！通常，将密码泄露给其他人是正确的。但是，对于IT员工而言，情况有所不同。

我们能够更改所有学生和工作人员的密码，因此我们拥有访问他们资源的技术能力。

因此，我们决定让学生决定在我们使用机器时是否要我们更改密码，或者是否希望保留密码，在这种情况下，我们会将其写下来。

关于[IT人员姓名]，IT

您认为我应该如何回应？我应该放手吗？我仍然认为要求他们输入密码是错误的，写下密码更是错误的，而且我担心他们获得我的数据也没有关系。

先前的答案似乎主要是“它们可以以任何方式访问您的文件，因此，如果您具有密码，则无所谓”。这是不正确的。许多用户重复使用密码或根据明显的方案生成密码（例如，在“ 12”后面附加“ 1”以挫败学校的密码轮换政策，或者在StackOverflow上使用“ pass-so”，在SuperUser上使用“ pass-su”，等等。）。如果这样的用户将密码提供给学校的IT员工，他们不仅使他们能够访问IT员工已经可以通过其管理员权限访问的信息，而且还向他们提供了其他无关的资源的访问权限。 IT人员既没有管理员访问权限，也没有任何正当理由可以访问。

此外，总是存在欺诈和社会工程的可能性-我不知道您是什么，但是我的垃圾邮件过滤器不断发出这样的信号：“嗨，我来自您的电子邮件服务器的工作人员，我需要您的帐户名和密码才能一些可笑的原因或其他“网络钓鱼”尝试。告诉用户绝对不要将密码泄露给任何人，这比起首先为IT人员解决例外情况，然后期望他们能够正确，一致地确定他们是否在处理实际问题，要容易得多，更有效。IT人员或冒名顶替者。

最后，将帐户详细信息写在便利贴上（这很可能会卡在机器本身上，使任何路人都可以轻松识别出这些凭证将在何处使用），除非该便利贴和机器都被放置在安全的地方（只有IT员工可以访问它们），并且在任何一个机器离开安全区域之前，都会对其进行销毁（切碎，用火焰清除等）。

正确的做法是让IT人员不仅停止请求用户密码，而且采取与PayPal相同的方法（还有其他方法，但他们是第一个想到的方法），并告诉用户“我们绝不会要求您提供密码；任何声称来自IT部门并要求您输入密码的人都在说谎，因此请不要将其提供给他们。” 像现在这样没有时间开始教导学生良好的安全习惯。在所有地方，学校都不应该教相反的话。

您可以要求他们更新服务条款，但IT部门可以豁免，但条件是当被告知[可以分配新密码的学生]选择向他们提供当前密码时，IT员工还将负责保护该密码以防盗窃，未经授权的第三者对其进行观察等。（关于破坏手写密码的条款，例如交叉粉碎机和时间范围，也很重要）。

除了解决技术上违反服务条款的问题外，此解决方案对最终用户也很有意义，因为大多数用户还是倾向于自然而然地以保密信息（例如密码）信任IT员工。

我认为与IT员工的情况有些不同。其中的一些（但可能不是全部）将能够重设密码并访问您的数据。因此，从理论上讲，如果他们希望查看您的数据，则可以（尽管如果他们正确设置了配置文件，他们仍然应该能够，或者至少一个帐户可以）
我同意您要求输入密码的事情，这是错误的，也是不正确的做法。应该发生的是重置密码，IT员工进行工作，将密码设置为在下次登录时更改，然后学生输入他选择的密码。（但是，如果在一定时间内不允许再次选择最后的密码，则该字段无效。但是，在我工作过的这个教育机构中，默认情况下，该默认情况下处于关闭状态，因为学生至少在早上起床时会遇到问题记住x数量的不同密码并不断旋转它们）
可能值得与您的IT部门讨论并提出建议。
但是，我确实认为这个问题可能已经结束，并且更像是社区Wiki的讨论，域管理员要求用户输入密码是否错误。

您应该邮寄给他们以更改有关此的合同规则。如果他们要访问您的PC并要检查数据，则在签订合同之前必须提及该数据。根据您的合同，这确实是错误的，因为他们在合同中也提到了这一点，并且他们没有告知此规则不适用于IT部门。

他们应具有访问您系统的合法理由。如果他们想知道密码的时间（如果您在任何情况下都更改了密码），那么他们应该允许更改密码超过12次。合同书中应有变更，将使这变得容易。

What if the IT staff know the password

就我而言，当任何IT员工知道我的PC密码时，我都不会遇到任何问题。他们只需要访问我的帐户并检查我的数据即可。因此，我认为您也应该完全没有问题。
他们已经在合同中列出了他们，如果他们想知道密码，那么我们必须在任何情况下都给他们。如果在我的帐户中发现任何可疑数据，他们将停止处理。

现在，如果您想让他们检查您的数据，您可以要求他们在您在场的情况下访问它（如果他们同意不知道密码）。

但是一直以来，有一种更好的方法可以更改合同清单，以使学生更清楚地知道将来他们不应该面对这个问题。