ZN0174

zpřísnění "politiky hesel"

10/11/2014

Krátce

Proč nelze v kartě učitele resp. žáka zobrazit dříve přidělené heslo. Jaké jsou důvody přidělení odlišných přihlašovacích údajů pro rodiče a pro žáka. Jak zamezit zneužití přístupových údajů.

Popis

S ohledem na vyšší zabezpečení přístupu k osobním a klasifikačním údajům žáků je od verze 13/14 zpřísněna "politika hesel".

Hesla (učitelů, žáků a jejich rodičů) jsou ukládána kryptografickou hašovací funkcí, což znemožňuje jejich dodatečné zjištění dekódováním. Při uživatelské změně hesla může být navíc požadována minimální délka a složitost, obsaženy mohou být i nealfanumerické znaky. Zadaná hesla jsou potom v podstatě neprolomitelná.
Z výše uvedeného důvodu (nemožnosti dekódování) lze ovšem hesla zobrazit pouze v okamžiku jejich vkládání do systému. Jen tehdy může být (uživatelem s pravomocí přidělovat přihlašovací údaje) vytištěn např. seznam rodičů či žáků s nově přidělenými hesly.
V případě, kdy je používáno stejné heslo do více aplikací bez možnosti jeho změny uživatelem, je tedy třeba seznam s hesly uživatelů vygenerovat v okamžiku jejich přidělení a (pro pozdější sdělování zapomenutých hesel uživatelům) jej uchovat např. v textovém souboru.

Pro sdělování přihlašovacích údajů rodičům a žákům doporučujeme zpřístupnit funkci zapomenuté heslo (kterou lze využít nejen v případě zapomenutí hesla, aniž by museli být pracovníci školy zaměstnáváni žádostmi o nové přidělení, ale i pro první přihlášení uživatelů bez nutnosti předávat jim přihlašovací údaje).

Pro plnohodnotné využití internetové žákovské knížky (pro komunikaci školy s rodiči, omlouvání žáků apod.) je nutné přidělit samostatné přihlašovací údaje pro žáka a pro rodiče.

Nanejvýš důležité pak je nedovolit zneužití svých přihlašovacích údajů.
Napomáhá tomu možnost změny hesla (povolená v konfiguraci systému), která každému uživateli dovolí zadat heslo pro sebe snadno zapamatovatelné, přitom těžko uhodnutelné pro ostatní. Učitel ani rodič tak nemusí mít heslo napsané, a nemusí se proto obávat, že by se mohlo dostat do nepovolaných rukou.
A podobně jako v jiných oblastech (např. u bankovních služeb) je třeba nezadávat své přihlašovací údaje mimo internetovou žákovskou knížku na oficiálních stránkách školy či mimo oficiální mobilní aplikaci firmy Bakaláři.
Pokud rodič nebo žák zadá své přihlašovací údaje do nějaké neověřené aplikace, musí si být vědom toho, že se vzdává ochrany zaručované systémem Bakaláři a veškeré údaje ze své internetové žákovské knížky zpřístupňuje neznámo komu.

Pro zkontrolování funkčnosti systému z pozice rodiče nebo žáka může správce systému (v utilitách správy uživatelů WEB) definovat dočasného uživatele SUPERUSER, což je jistě vhodnější, než vstupovat do systému pod cizím přihlašovacím jménem a heslem bez vědomí daného uživatele.

Klíčová slova

heslo hesla nezobrazují v kartě žáka učitele