Пользователь рабочего компьютера должен каждый раз менять пароль

Обновлено: 20.11.2024

Целью настоящего руководства является информирование студентов, преподавателей и сотрудников Университета Карнеги-Меллона («Университет») о характеристиках надежного пароля, а также предоставление рекомендаций по безопасному хранению паролей и управлению ими.

Применимо к

Это руководство распространяется на всех студентов, преподавателей и сотрудников, у которых есть имя пользователя и пароль хотя бы для одной университетской системы или приложения, независимо от того, являетесь ли вы конечным пользователем или системным администратором этой системы или приложения.

Определения

Надежный пароль – это пароль, который достаточно сложно угадать за короткий промежуток времени либо с помощью подбора человеком, либо с помощью специального программного обеспечения.

Рекомендации

Ниже приведены общие рекомендации по созданию надежного пароля:

Ниже приведены несколько рекомендаций по использованию надежного пароля:

    Никому и ни при каких обстоятельствах не сообщайте свой пароль

Не следует сообщать пароли никому, в том числе студентам, преподавателям или сотрудникам. В ситуациях, когда кому-то требуется доступ к защищенным ресурсам другого человека, следует изучить варианты делегирования разрешений. Например, календарь Microsoft Exchange позволит пользователю делегировать управление своим календарем другому пользователю, не сообщая никаких паролей. Такой тип решения приветствуется. Пароли не должны разглашаться даже с целью ремонта компьютера. Альтернативой этому является создание новой учетной записи с соответствующим уровнем доступа для ремонтника.

Если вы подозреваете, что кто-то взломал вашу учетную запись, немедленно измените пароль. Обязательно смените пароль на компьютере, который вы обычно не используете (например, на университетском кластере). После сброса пароля сообщите об инциденте администратору местного отдела и/или в отдел информационной безопасности по адресу iso-ir@andrew.cmu.edu.

Парольная фраза – это пароль, состоящий из последовательности слов, в которые вставлены цифровые и/или символьные символы. Парольной фразой может быть текст песни или любимая цитата. Парольные фразы обычно имеют дополнительные преимущества, например, они длиннее и их легче запомнить. Например, парольная фраза «Мой пароль $superstr0ng!» имеет длину 28 символов и включает в себя буквенные, цифровые и специальные символы. Это также относительно легко запомнить. Важно отметить размещение числовых и символьных символов в этом примере, поскольку они предотвращают поиск нескольких слов в стандартном словаре. Использование пробелов также затрудняет подбор пароля.

Как правило, вам не следует записывать свой пароль. В случаях, когда необходимо записать пароль, этот пароль следует хранить в безопасном месте и должным образом уничтожить, когда он больше не нужен (см. Рекомендации по защите данных). Использование диспетчера паролей для хранения ваших паролей не рекомендуется, если диспетчер паролей не использует надежное шифрование и не требует аутентификации перед использованием. ISO проверил некоторые менеджеры паролей, которые соответствуют этим требованиям.

При смене пароля учетной записи следует избегать повторного использования предыдущего пароля. Если учетная запись пользователя была ранее скомпрометирована сознательно или неосознанно, повторное использование пароля может привести к повторной компрометации этой учетной записи пользователя. Точно так же, если по какой-то причине был предоставлен общий доступ к паролю, повторное использование этого пароля может привести к несанкционированному доступу к вашему аккаунту.

Несмотря на то, что использование одного и того же пароля для нескольких учетных записей облегчает запоминание ваших паролей, это также может иметь цепной эффект, позволяющий злоумышленнику получить несанкционированный доступ к нескольким системам. Это особенно важно при работе с более конфиденциальными учетными записями, такими как учетная запись Эндрю или учетная запись онлайн-банкинга. Эти пароли должны отличаться от паролей, которые вы используете для обмена мгновенными сообщениями, веб-почты и других учетных записей в Интернете.

Использование функции автоматического входа в систему сводит на нет большую часть ценности использования пароля. Если злоумышленник сможет получить физический доступ к системе, в которой настроен автоматический вход в систему, он или она сможет получить контроль над системой и получить доступ к потенциально конфиденциальной информации.

Ниже приведены рекомендации для лиц, ответственных за предоставление и поддержку учетных записей пользователей:

Многие системы и приложения содержат функции, которые не позволяют пользователю установить пароль, не соответствующий определенным критериям. Подобную функциональность следует использовать, чтобы гарантировать установку только надежных паролей.

Принуждение пользователя к смене исходного пароля помогает гарантировать, что только этот пользователь знает свой пароль.В зависимости от того, какой процесс используется для создания и передачи пароля пользователю, эта практика также может помочь снизить риск угадывания или перехвата первоначального пароля во время передачи пользователю. Это руководство также относится к ситуациям, когда пароль необходимо сбросить вручную.

В определенных ситуациях пользователю может быть выдана новая учетная запись, и он не может получить доступ к этой учетной записи в течение определенного периода времени. Как упоминалось ранее, исходные пароли имеют более высокий риск угадывания или перехвата в зависимости от того, какой процесс используется для создания и распространения паролей. Принудительное истечение срока действия первоначального пароля через определенный период времени (например, 72 часа) помогает снизить этот риск. Это также может быть признаком того, что учетная запись не нужна.

Руководство по классификации данных определяет данные с ограниченным доступом в своей схеме классификации данных. Данные с ограниченным доступом включают, помимо прочего, номер социального страхования, имя, дату рождения и т. д. Этот тип данных не следует использовать полностью или частично для составления первоначального пароля. Более полный список типов данных см. в Приложении A.

Прежде чем сбрасывать пароль, всегда следует подтверждать личность пользователя. Если запрос подается лично, для этого достаточно удостоверения личности с фотографией. Если запрос по телефону, подтвердить личность будет намного сложнее. Один из способов сделать это — запросить видеоконференцию с пользователем (например, Skype), чтобы сопоставить человека с его удостоверением личности с фотографией. Однако это может быть обременительным процессом. Другой вариант — позвонить менеджеру человека и подтвердить запрос. По понятным причинам это не сработает для студенческих запросов. Решение для самостоятельного сброса пароля, если оно доступно, предлагает пользователю ряд настраиваемых вопросов и является эффективным подходом к решению проблемы сброса пароля.

Как указано выше, пароли отдельных учетных записей пользователей не должны передаваться по какой-либо причине. Естественная корреляция с этим руководством — никогда не спрашивать у других их пароли. Опять же, делегирование разрешения — это одна из альтернатив запросу пароля у пользователя. Некоторые приложения включают функции, которые позволяют администратору выдавать себя за другого пользователя, не вводя пароль этого пользователя, но при этом привязывая действия к учетной записи пользователя администратора. Это тоже приемлемая альтернатива. В случае ремонта компьютера одной из альтернатив является запрос на создание пользователем временной учетной записи в своей системе.

Ниже приведены несколько дополнительных рекомендаций для лиц, ответственных за разработку и внедрение систем и приложений:

    Изменить пароли учетных записей по умолчанию

Учетные записи по умолчанию часто являются источником несанкционированного доступа злоумышленника. По возможности их следует полностью отключить. Если учетную запись невозможно отключить, пароли по умолчанию следует изменить сразу после установки и настройки системы или приложения.

Общие сервисные аккаунты обычно предоставляют повышенный уровень доступа к системе. Учетные записи системного уровня, такие как root и Administrator, обеспечивают полный контроль над системой. Это делает эти типы учетных записей очень уязвимыми для вредоносных действий. В результате должен быть реализован более длинный и сложный пароль. Системные учетные записи и учетные записи общих служб обычно имеют решающее значение для работы системы или приложения. Из-за этого эти пароли часто известны более чем одному администратору. Пароли следует менять каждый раз, когда кто-либо, знающий пароль, меняет должностные обязанности или увольняется. Использование таких учетных записей, как root и Administrator, также должно быть максимально ограничено. Следует изучить альтернативы, такие как использование sudo вместо root и создание уникальных учетных записей для администрирования Windows вместо использования учетных записей по умолчанию.

Использование одного и того же пароля для нескольких учетных записей может упростить администрирование систем и приложений. Однако эта практика также может иметь цепной эффект, позволяющий злоумышленнику проникнуть в несколько систем в результате компрометации пароля одной учетной записи.

Пароли не должны храниться или передаваться с использованием слабых алгоритмов шифрования или хеширования. Например, и алгоритм шифрования DES, и алгоритм хеширования MD-4 имеют известные недостатки в системе безопасности, которые могут позволить расшифровать защищенные данные. Алгоритмы шифрования, такие как 3DES или AES, и алгоритмы хэширования, такие как SHA-1 или SHA-256, являются более надежными альтернативами ранее упомянутым алгоритмам. Свяжитесь с отделом информационной безопасности по адресу iso@andrew.cmu.edu, если у вас есть вопросы, связанные с использованием определенного алгоритма шифрования и хеширования.

При изменении или сбросе пароля владельцу учетной записи этого пользователя должно автоматически отправляться электронное письмо. Это предоставляет пользователю подтверждение того, что изменение или сброс были успешными, а также предупреждает пользователя, если его пароль был изменен или сброшен по незнанию.

Ниже приведены дополнительные рекомендации для системных или сервисных учетных записей, которые не предназначены для использования людьми:

  • По возможности сервисные аккаунты должны создаваться случайным образом, иметь длину (>= 15 символов) и соответствовать тем же требованиям сложности для надежных паролей, которые указаны выше.
  • Служебные учетные записи в Microsoft Active Directory с именем участника-службы (SPN) должны создаваться случайным образом, иметь длину (>= 28 символов) и соответствовать тем же требованиям сложности для надежных паролей, которые указаны выше. Большая длина снижает эффективность слабых шифровальных шифров. Если совместимость программного обеспечения требует установки более короткого пароля, свяжитесь с отделом информационной безопасности (iso@andrew.cmu.edu), чтобы обсудить меры компенсации.

Дополнительная информация

Если у вас есть какие-либо вопросы или комментарии, связанные с этим Руководством, отправьте электронное письмо в отдел информационной безопасности университета по адресу iso@andrew.cmu.edu.

Дополнительную информацию также можно найти на следующих ресурсах:

История изменений

< td>18/02/2022
Версия Дата Опубликовано
Автор
Описание
1.0< /td> 01.12.2007 Дуг Маркевич Оригинальная публикация. Заменяет рекомендации по надежности паролей и рекомендации по совместному использованию паролей.
1.1 14/05/2008 Дуг Маркевич Обновлена ​​неработающая ссылка в дополнительной информации.
1.2 12.09.2012 Дуг Маркевич Обновлены устаревшие ссылки на дополнительные ресурсы.
1.3 24/03/2014 Wiam Younes Обновлена ​​информация о процедуре компрометации пароля и пример проверки личности пользователя.
1.4 14.09.2017 Лаура Радерман Обновлены ссылки на новый сайт Computing Services и отформатированы для новых шаблонов CMS
1.5 Лаура Радерман Добавлено руководство для сервисных аккаунтов.

< table border="0"> Статус Дата публикации Опубликовано: 12 /01/2007 Последнее обновление: 18/02/2022 Последняя проверка: 18 февраля 2022 г.

В этой главе из Windows 10 Step by Step описаны процедуры, связанные с созданием и управлением учетными записями пользователей, управлением изображениями и паролями учетных записей, а также настройкой параметров входа.

В этой главе

  • Об учетных записях и разрешениях пользователей
  • Создание учетных записей пользователей и управление ими
  • Управление фотографиями и паролями аккаунта
  • Настройте параметры входа

В этой главе используйте практические файлы из папки Win10SBS\Ch08. Инструкции по загрузке тренировочных файлов см. во введении.

Компьютеры стали неотъемлемой частью нашей жизни. Мы храним на них личную и деловую информацию и используем их для доступа к финансовой и социальной информации в Интернете. Эта информация может быть защищена паролем, но пароль может быть легко доступен любому другому лицу, использующему ваш компьютер. Чтобы защитить вашу конфиденциальность и целостность вашей информации, важно контролировать, кто может входить в систему на вашем компьютере или планшете и что они могут делать, когда они вошли в систему.

Доступ к компьютеру осуществляется через учетные записи пользователей. Каждый отдельный пользователь компьютера, независимо от возраста, должен входить в систему со своей собственной учетной записью. Каждая учетная запись пользователя имеет доступ к частной области хранения файлов и настройкам пользовательского интерфейса, а также к общей общедоступной области хранения файлов. Аккаунты, обозначенные как дочерние, имеют дополнительные меры безопасности, призванные защитить их от контента, не соответствующего возрасту.

Когда вы входите в свой компьютер, у вас есть множество вариантов для этого. Учетные записи пользователей могут быть защищены паролями, но пользователи могут выбрать альтернативные учетные данные для входа, такие как PIN-коды, графические пароли и биометрическую идентификацию.

В этой главе описаны процедуры, связанные с созданием и управлением учетными записями пользователей, управлением изображениями и паролями учетных записей, а также настройкой параметров входа.

Об учетных записях и разрешениях пользователей

Для Windows 10 требуется как минимум одна учетная запись пользователя. Вы указываете эту учетную запись при завершении процессов установки или при первом запуске компьютера после установки Windows 10. Windows 10 назначает эту первую учетную запись учетной записью администратора, чтобы ее можно было использовать для управления компьютером. Невозможно войти на компьютер без учетной записи пользователя.

В этой книге, особенно в этой главе, много раз используется слово "пользователь" и "учетная запись". Вот краткое описание использования этих терминов:

  • пользователь — это человек, использующий компьютер.
  • Учетная запись пользователя — это учетная запись, которую человек использует для входа на компьютер.

Каждая учетная запись пользователя:

  • Учетная запись Майкрософт, которая представляет собой любой адрес электронной почты, зарегистрированный в службе учетных записей Майкрософт.
  • локальная учетная запись, существующая только на одном компьютере и не связанная с конкретным адресом электронной почты

Вы можете использовать свою учетную запись Microsoft для входа на несколько компьютеров, веб-сайтов и служб, используя один и тот же адрес электронной почты и пароль. Вход в систему с использованием учетных данных учетной записи Microsoft позволяет вам обмениваться настройками и файлами между всеми вашими устройствами. Любое устройство, на которое вы входите с помощью этой учетной записи, может иметь доступ к одним и тем же настройкам и информации. Вход с использованием локальной учетной записи накладывает ограничения на приложения, которые вы можете приобрести или загрузить из Магазина, и может ограничить ваш доступ к OneDrive. Поскольку почти любую учетную запись электронной почты можно также использовать в качестве учетной записи Майкрософт, рекомендуется воспользоваться дополнительными преимуществами, которые это позволяет.

Каждая учетная запись пользователя также классифицируется как:

  • Учетная запись администратора
  • Стандартный аккаунт пользователя

Эта классификация предоставляет определенный уровень разрешений для управления системными действиями на компьютере. Мы объясним, что может делать каждый из этих типов учетных записей, в следующем разделе этой темы.

Учетная запись пользователя также может быть одной из следующих:

  • Дочерний аккаунт, который отслеживается с помощью семейной безопасности
  • Аккаунт для взрослых, который может управлять настройками семейной безопасности для дочерних аккаунтов

Это необязательные обозначения, которые делают владельца учетной записи пользователя частью вашей семейной группы. Мы объясним семейную безопасность на боковой панели «Управление и мониторинг параметров семейной безопасности» далее в этой главе.

Информация в этой главе относится к учетным записям пользователей компьютера (иногда называемым локальными учетными записями пользователей), а не к учетным записям пользователей сетевого домена.

Профили пользователей

Windows предоставляет возможность совместного использования одного компьютера несколькими пользователями или для одного пользователя иметь несколько учетных записей для разных целей. Для этого каждая учетная запись пользователя (будь то учетная запись Microsoft или локальная учетная запись) связана с профилем пользователя, который описывает, как компьютерная среда (пользовательский интерфейс) выглядит и работает для этого пользователя. Эта информация включает в себя такие простые вещи, как фон рабочего стола, содержимое рабочего стола и цветовая схема Windows. Он также включает личную и конфиденциальную информацию, например сохраненные пароли и историю посещенных страниц в Интернете.

Каждый профиль пользователя включает личную папку, обычно недоступную для других пользователей компьютера, в которой вы можете хранить документы, изображения, мультимедиа и другие файлы, которые вы хотите сохранить в тайне.

Система профилей пользователей Windows 10 позволяет нескольким пользователям использовать один и тот же компьютер, обеспечивая следующие гарантии:

  • Информация каждого пользователя хранится отдельно. Вы не позволяете обычным пользователям читать или изменять ваши документы, изображения, музыку и другие файлы, сохраняя их во вложенных папках, которые автоматически создаются в папке вашей учетной записи пользователя. Например, если вы управляете финансовыми отчетами своей семьи на домашнем компьютере, который ваши дети используют для выполнения домашних заданий, дети входят в систему с отдельными учетными записями и не имеют доступа к конфиденциальной информации или возможности изменять ваши файлы. Администраторы могут получить доступ ко всем учетным записям пользователей.
  • Рабочая среда каждого пользователя защищена. Вы можете персонализировать свою среду различными способами, не беспокоясь о том, что другие люди могут изменить ваши личные настройки.
  • Использование приложения каждым пользователем уникально. Каждый пользователь запускает отдельные экземпляры каждого приложения на компьютере. Например, вы можете настроить Outlook для подключения к своим учетным записям, а другие пользователи компьютеров могут настроить Outlook для подключения к своим учетным записям, но они также не могут подключаться к вашим учетным записям. Данные каждого пользователя хранятся и управляются отдельно.

Разрешения учетной записи пользователя

Системные действия, которые может выполнять пользователь, зависят от типа учетной записи, с которой он или она входит. Учетная запись администратора имеет более высокий уровень разрешений, чем стандартная учетная запись пользователя. Это означает, что владелец учетной записи администратора может выполнять на вашем компьютере задачи, недоступные владельцу стандартной учетной записи пользователя.

Стандартные учетные данные учетной записи пользователя позволяют пользователю выполнять действия, затрагивающие только его или ее учетную запись, в том числе:

  • Изменить или удалить пароль.
  • Изменить изображение учетной записи пользователя.
  • Измените тему и настройки рабочего стола.
  • Просматривать файлы, хранящиеся в его личных папках, и файлы в общих папках.

Учетные данные администратора необходимы для выполнения следующих действий:

  • Создание, изменение и удаление учетных записей.
  • Изменить настройки, влияющие на всех пользователей компьютера.
  • Изменить настройки безопасности.
  • Установка и удаление приложений.
  • Доступ к системным файлам и файлам в других профилях учетных записей пользователей.

Задачи, требующие разрешения администратора, обозначаются в окнах и диалоговых окнах значком безопасности Windows.

Значок безопасности Windows имеет форму щита

Если у вас есть учетная запись администратора — даже если вы единственный человек, который будет использовать ваш компьютер, — рекомендуется создать и использовать стандартную учетную запись пользователя для повседневных вычислений. Существует гораздо более высокий риск серьезного повреждения компьютерной системы, если вредоносное ПО проникнет на ваш компьютер (или злоумышленник получит контроль над ним), когда вы вошли в систему как администратор, чем когда вы вошли в систему как обычный пользователь. . Через учетную запись администратора человек или приложение имеет доступ ко всем системным файлам и настройкам, в то время как учетная запись обычного пользователя не имеет доступа к определенным функциям, которые могут необратимо повредить систему.

Семейные аккаунты

Многие дети используют компьютеры в образовательных или развлекательных целях. У каждого ребенка должна быть уникальная учетная запись Майкрософт, которую вы назначаете в качестве дочерней учетной записи. Для каждой детской учетной записи вы (и другие взрослые, которых вы назначаете членами семьи) можете выполнять следующие действия:

  • Отслеживайте историю просмотров веб-страниц, использование приложений и игр.
  • Блокируйте веб-сайты, содержащие материалы для взрослых, или разрешайте маленьким детям посещать только определенные веб-сайты.
  • Ограничьте использование приложений и игр только теми, которые соответствуют определенным возрастным ограничениям.
  • Контролируйте время, проводимое за экраном, и ограничивайте использование компьютера только определенным временем или определенным количеством часов в день.
  • Управление способами оплаты и отслеживание покупок в Магазине Windows и Магазине Xbox.

Вы можете отслеживать действия детей на каждом компьютере или устройстве, на которые они входят со своими учетными записями Microsoft.

Дополнительную информацию о мониторинге и управлении действиями детей за компьютером см. во врезке «Управление и мониторинг параметров семейной безопасности» далее в этой главе.

Контроль учетных записей пользователей

Контроль учетных записей (UAC) защищает ваш компьютер от изменений системных настроек Windows, требуя, чтобы администратор явно разрешал определенные типы изменений. Каждая область интерфейса Windows, требующая разрешения администратора, помечена значком безопасности. Когда вы пытаетесь получить доступ к защищенным настройкам Windows или изменить их, появится диалоговое окно контроля учетных записей, запрашивающее подтверждение того, что Windows должна продолжить операцию.

Окно сообщения контроля учетных записей зависит от вашей учетной записи и действия

Если вы вошли в систему с учетной записью администратора, вы можете просто нажать кнопку "Да", чтобы продолжить операцию. Если вы вошли в систему со стандартной учетной записью пользователя, в окне сообщения отображается список учетных записей администратора на компьютере. Чтобы продолжить операцию, щелкните одну из учетных записей администратора, введите ее пароль в появившемся поле и нажмите кнопку Да.

Если у учетной записи администратора нет связанного пароля, вы можете продолжить операцию, просто щелкнув эту учетную запись, а затем нажав Да. Это одна из причин, по которой важно, чтобы у каждой учетной записи администратора на компьютере был пароль.

Windows не сохраняет учетные данные, которые вы вводите в окне сообщения контроля учетных записей; они действительны только для этой операции. Любой, у кого нет доступа к учетным данным администратора, не может выполнить операцию, что эффективно предотвращает внесение изменений, не санкционированных вами, лицами, не являющимися администраторами.

UAC имеет четыре уровня контроля. Только первые два доступны, если вы вошли в систему со стандартной учетной записью пользователя, даже если у вас есть доступ к учетным данным администратора:

  • Всегда уведомлять меня. Это настройка по умолчанию для учетной записи обычного пользователя.Когда пользователь или приложение инициирует изменение, для которого требуются учетные данные администратора, рабочий стол затемняется и открывается окно сообщения контроля учетных записей. Прежде чем предпринимать какие-либо другие действия, вы должны ответить на окно сообщения.
  • Уведомлять меня только тогда, когда приложения пытаются внести изменения в мой компьютер. Это параметр по умолчанию для учетной записи администратора. Когда приложение инициирует изменение, для которого требуются учетные данные администратора, рабочий стол затемняется и открывается окно сообщения контроля учетных записей. Прежде чем продолжить, вы должны ответить в диалоговом окне.
  • Уведомлять меня только тогда, когда приложения пытаются внести изменения в мой компьютер (не затемнять мой рабочий стол). Когда приложение инициирует ограниченное действие, открывается окно сообщения контроля учетных записей. Действие с ограниченным доступом не будет выполнено, пока вы не ответите в диалоговом окне, но вы можете выполнять другие задачи, пока окно сообщения открыто.
  • Никогда не уведомлять меня Это эквивалентно отключению UAC. Любой пользователь или приложение может вносить любые изменения в компьютер без ограничений.

По умолчанию Windows 10 запрашивает учетные данные администратора, когда пользователь или приложение инициирует действие, изменяющее системные файлы. Нет особых причин менять настройки контроля учетных записей, но вы можете это сделать.

Чтобы изменить настройку контроля учетных записей

На панели задач или в окне "Настройки" введите UAC в поле поиска, а затем в списке результатов поиска нажмите "Настройки контроля учетных записей".

Значок безопасности слева от команды указывает, что для выполнения этой операции требуются учетные данные администратора.

Откроется окно настроек контроля учетных записей.

Вы можете выбрать один из четырех уровней управления изменениями

В появившемся окне управления учетными записями пользователей введите учетные данные администратора, если это необходимо, а затем нажмите OK.

Вы должны войти в систему с учетной записью администратора, чтобы выбрать один из двух самых низких параметров. Если вы выберете параметр «Никогда не уведомлять», вам необходимо перезагрузить компьютер, чтобы завершить процесс отключения UAC.

ИЭУ

      • Состояние образованияДайджест статистики образованияПрогнозы статистики образованияТематические исследования
      • Национальная программа оценки образовательного прогресса (NAEP) для международной оценки компетенций взрослых (PIAAC)
      • Программа международной деятельности (IAP)
      • Продольное исследование раннего детства (ECLS)Национальное обследование образования домохозяйств (NHES)
      • Common Core of Data (CCD)Secondary Longitudinal Studies ProgramEducation Demographic and Geographic Estimates (EDGE)National Teacher and Principal Survey (NTPS)подробнее.
      • Программа библиотечной статистики
      • Бакалавриат и выше (B&B)Статистика профессионального/технического образования (CTES)Интегрированная система данных о высшем образовании (IPEDS)Национальное исследование помощи учащимся послесреднего образования (NPSAS)подробнее.
      • Общие стандарты данных в сфере образования (CEDS)Национальный форум по статистике образованияГосударственная программа грантов для систем продольных данных — (SLDS)подробнее.
      • Программа статистических стандартов Национального кооператива послесреднего образования (NPEC) для дистанционного обучения.
        • EDATDelta Cost ProjectIPEDS Data CenterКак подать заявку на лицензию с ограниченным использованием
        • Таблицы ASC-EDЛаборатория данныхЭлементарная вторичная информационная системаInternational Data ExplorerIPEDS Data CenterNAEP Data Explorer
        • Панель управления ACSCollege NavigatorЧастные школыГосударственные школьные округаГосударственные школыПоиск школ и колледжей
        • Профили штатов NAEP (nationsreportcard.gov)Поиск коллег по финансам округа государственных школЦентр статистики финансов образованияЦентр данных IPEDS
        • Инструмент вопросов NAEPИнструмент вопросов NAAL
        • Панель управления ACS-EDКарты ACS-EDКарта колледжаПоиск по регионуMapEdSAFEMapSchool and District Navigator
        • Инвентаризация библиографических данных
        • ОценкиРаннее детствоНачальное и среднее образованиеБиблиотекаПослешкольное образование и дополнительные ресурсы
        • Блог NCESЧто нового в NCESКонференции/обучениеНовостиFlashВозможности финансированияПресс-релизыStatChat
        • Поиск по публикациям и продуктамГодовые отчетыЛицензии на данные с ограниченным использованием
          Последние публикацииПо предметному указателю A-ZПо областям исследований и программДанные Продукты за последние 6 месяцев
        • О NCESCommissionerСвязаться с NCESStaffHelp

        Это действительно происходит!

        Ким осторожно подошла к Фреду. Как менеджер по безопасности, она знала, как важно полностью собрать информацию, прежде чем делать поспешные выводы. «Фред, мой просмотр наших компьютерных журналов показывает, что вы входили в систему и просматривали конфиденциальную информацию об учениках. Я не мог понять, почему кому-то из службы общественного питания нужно просматривать результаты тестов отдельных учеников, поэтому я подумал, что я зайди и спроси."

        Фред посмотрел на Ким так, словно был удивлен, что задал такой вопрос. "Вы забыли, что у меня есть доступ к студенческим записям?"

        "У вас есть доступ к определенным элементам, связанным с правом учащегося на бесплатные и льготные обеды", – пояснила Ким. "Это предел вашей потребности знать."

        "Я не знал, что мой доступ ограничен", – честно заявил Фред. "Я решил, что если мой пароль приведет меня к файлу, это будет честная игра."

        Ким сделал паузу, поняв, что со стороны Фреда могло быть разумным предположить, что ему разрешено читать файл, если его пароль дает ему доступ. «Хм, я понимаю вашу точку зрения, Фред, но, по правде говоря, вы не должны получать доступ к информации об успеваемости, которая не связана с вашими законными образовательными обязанностями. На этот раз я не буду придавать этому большого значения, но от а теперь ограничьте просмотр информацией о бесплатных обедах и обедах по сниженным ценам. А пока я собираюсь разослать персоналу записку, напоминающую им, что на самом деле означает необходимость знать."


        Несомненно, организация имеет право защищать свои вычислительные и информационные ресурсы с помощью действий по обеспечению безопасности доступа пользователей, однако пользователи ( независимо от того, авторизованы они или нет) также имеют права. Необходимо приложить разумные усилия, чтобы информировать всех пользователей, даже незваных хакеров, о том, что система находится под наблюдением и что несанкционированная деятельность будет наказана и/или преследована в судебном порядке, если это будет сочтено целесообразным. Если такие усилия не будут предприняты, организация может фактически нарушать права на неприкосновенность частной жизни своих злоумышленников!

        В. Можно ли иметь безопасную систему, если у вас есть сотрудники, которые работают удаленно или работают по нестандартному графику?
        A. да. Хотя определенные контрмеры могут потребоваться скорректировать для соответствия нетрадиционным графикам (например, практика ограничения пользователей допустимым временем и местоположением входа в систему), система с удаленными сотрудниками, частыми путешественниками и другими пользователями удаленного доступа все еще может быть безопасной. Это может потребовать от разработчиков политики более творческого мышления, но каждое руководство по безопасности в любом случае должно быть адаптировано для удовлетворения потребностей организации (см. главу 2).

        В. Является ли использование паролей эффективной стратегией защиты системы?
        A. Тот факт, что системы паролей являются наиболее распространенной стратегией аутентификации, применяемой в настоящее время, не означает, что они стали менее эффективными. На самом деле причина их популярности именно в том, что они могут быть очень полезны для ограничения доступа к системе. Главной проблемой систем паролей является не их техническая целостность, а степень, в которой (как и многие стратегии) ​​они зависят от надлежащего применения пользователями. Хотя, безусловно, существуют более дорогие и даже эффективные способы ограничения доступа пользователей, если анализ рисков определяет, что система паролей отвечает потребностям организации и является наиболее рентабельной, вы можете быть уверены в защите паролей, пока пользователи правильно внедряют систему. -что, в свою очередь, требует соответствующей подготовки персонала (см. главу 10).

        Инициирование процедур безопасности также приносит пользу пользователям:

        1) помогает им защитить свои собственные файлы

        2) снижает вероятность неправомерного раскрытия конфиденциальной информации

        p>

        3) Информировать их о том, что считается и что не считается приемлемым поведением

          Намеренные действия (например, совместное использование учетных записей пользователей, взлом, спуфинг пользователей или выдача себя за других)

          Ограничьте доступ пользователей только к тем файлам, которые им необходимы для работы. Предоставление ненужного доступа значительно увеличивает риск без соответствующего увеличения выгоды. Зачем беспокоиться?

          Выберите систему аутентификации. Правильный выбор системы аутентификации зависит от потребностей организации и ее системы и должен основываться на результатах оценки рисков (см. главу 2). Обратите внимание, что следующие варианты переходят от наименее безопасных к наиболее безопасным, а также (что неудивительно) от наименее дорогих к наиболее дорогим:

          Что-то известное пользователю (например, пароль — см. ниже)

        Поскольку пароли являются наиболее распространенным методом аутентификации пользователей, они заслуживают особого внимания.

          Требовать, чтобы пароль состоял не менее чем из шести символов (хотя предпочтительнее от восьми до десяти). использование паролей, которые представляют собой слова, имена, даты или другие обычно ожидаемые форматы. использование паролей, которые отражают или идентифицируют владельца учетной записи (например, без дат рождения, инициалов или имен домашних животных). сочетание символов (например, буквы/цифры и верхний/нижний регистр, если система чувствительна к регистру).

          системному администратору изменить все предустановленные пароли, встроенные в программное обеспечение (например, супервизора, демо и root). требовать смены паролей через заданные промежутки времени (например, раз в месяц). нулевая терпимость к обмену паролями. незащищенное хранение личных паролей (например, их нельзя записывать на стикерах Post-It™ и прикреплять скотчем к боковой части монитора). отправить пароль в составе сообщения электронной почты. пользователям не вводить свой пароль, когда кто-то может наблюдать. (или иным образом неясным) отображение пароля на мониторе, когда пользователи вводят его. пользователи, что легко изменить пароль, если они думают, что их пароль мог быть скомпрометирован. зашифрованную историю паролей, чтобы убедиться, что пользователи не просто используют старые пароли, когда они должны их менять. рабочем месте, чтобы убедиться, что все правила соблюдаются.

        Это действительно происходит!

        Директор Маллинз был сторонником правил, но он также серьезно относился к выполнению работы. Когда через две недели после начала занятий он узнал, что ни один из трех его новых учителей еще не получил учетные записи в компьютерной сети из центрального офиса, он пришел в ярость. У них было достаточно поводов для беспокойства, и им не мешало оставаться в автономном режиме. Он позвал своего помощника: «Меня не волнует, запрещает политика безопасности совместное использование паролей или нет, этим людям нужно войти в систему. Пусть они используют мой пароль для входа — это «A4a6dc», понятно? что у них есть доступ ко всему, что им нужно для работы!"

        Прошло три недели, прежде чем системный администратор отправил письмо директору Маллинзу по электронной почте о явном неправильном использовании его пароля: «Системные журналы почти ежедневно показывают случаи, когда несколько человек одновременно пытаются войти в систему с вашим паролем. Пожалуйста, немедленно измените пароль и дайте мне знать, если у вас есть какие-либо идеи о том, кто его использует не по назначению."


        Не забудьте настроить контрмеры в соответствии с потребностями организации и пользователей.


        Некоторые злоумышленники используют «словари паролей», которые в буквальном смысле пытаются сопоставлять пароли по одному слову в течение тысяч и тысяч попыток!

          Ограничьте пользователям допустимое время входа в систему: у обычного сотрудника дневной смены нет причин получать доступ к системе посреди ночи.

        Ваши компьютеры содержат много конфиденциальных и важных данных, поэтому обеспечение безопасности рабочих данных является главным приоритетом. Один из советов по безопасности для пользователей компьютеров — постоянно менять свои пароли на что-то новое, но не всегда может быть ясно, почему вы должны так постоянно делать что-то столь неудобное. Смена пароля позволяет избежать ряда опасностей, в том числе менее очевидных, например того, что происходит с паролями, которые вы сохранили на компьютерах, которыми вы больше не владеете.

        Ограничивает взлом нескольких учетных записей

        Может возникнуть соблазн использовать один и тот же пароль для каждой вашей учетной записи, будь то компьютеры и сетевое оборудование или онлайн-аккаунты, так как гораздо проще запомнить один пароль. Однако это также означает, что если кто-то вычислит ваш пароль, он сможет получить доступ к любой вашей учетной записи. Изменение ваших паролей на что-то другое и уникальное для каждой учетной записи сделает так, что даже если кто-то угадает один пароль, он не сможет использовать его для чего-либо еще.

        Предотвратить постоянный доступ

        Не все хакеры берут то, что им нужно, и уходят. Иногда хакеры могут продолжать получать доступ к вашей учетной записи либо для отслеживания ваших данных, либо для кражи информации с течением времени. Может быть трудно выяснить, использует ли кто-то другой вашу учетную запись, поэтому, постоянно меняя свой пароль, вы снижаете риск того, что другие люди будут иметь частый доступ к вашим учетным записям. На всякий случай меняйте пароль каждые несколько месяцев.

        Ограничить догадки

        Если вы используете один и тот же пароль в течение длительного времени, вы увеличиваете риск того, что кто-то угадает ваш пароль. Будь то кто-то, кто наблюдает, как вы вводите свой пароль несколько раз, или кто-то неоднократно пытается его угадать, чем длиннее у вас один и тот же пароль, тем дольше люди должны пытаться выяснить, что это такое. Не позволяйте людям смотреть, как вы входите в свои аккаунты, и не используйте короткие, легко угадываемые слова или фразы.

        Предотвращение злоупотребления сохраненным паролем

        Если вы когда-нибудь поменяете компьютеры с другими людьми или избавитесь от старых компьютеров, не переформатировав жесткий диск, вполне возможно, что любой, кто использует ваш старый компьютер, получит доступ к вашим сохраненным паролям. Предоставление кому-либо компьютера с сохраненными паролями равносильно предоставлению им доступа к вашим учетным записям. Постоянная смена паролей будет означать, что даже если кто-то найдет ваш старый пароль, он больше не будет актуален или полезен.

        Выбор хорошего пароля

        Придумывая новый пароль, вы хотите, чтобы он был защищен от догадок и попыток взлома. У вас может возникнуть соблазн использовать длинный пароль, но качество гораздо важнее количества. Программы для взлома способны угадывать пароли, комбинируя вместе случайные слова и фразы, а также любую информацию, относящуюся к вам. Чтобы бороться с этим, избегайте использования любой личной информации, такой как даты, адреса или имена. Также избегайте использования простых слов и фраз; если вы это сделаете, сделайте их грамматически неправильными, чтобы избежать угадывания. Используйте случайные комбинации цифр, букв и символов, которые легко запомнить. Например, вместо «пароль», который нельзя использовать ни при каких обстоятельствах, вы можете использовать «p4$$w0rD». Это все то же слово и все еще короткое, но его гораздо труднее угадать ни человеку, ни программе.

        Джеймс Райт живет в Калифорнии и пишет с 1998 года. Статьи Райта публиковались на различных веб-сайтах, посвященных таким техническим областям, как компьютеры и Интернет, а также публиковались в ныне устаревшем издании для художественного онлайн-издания. сообщество. Райт изучал английский язык, журналистику, политику и психологию в муниципальном колледже Риверсайд.

        Читайте также: