web-dev-qa-db-ja.com

教室で幼児向けのパスワード/認証システムを設計する

私たちは、一方向のハッシュにパスワードを保存する、パスワードを電子メールで送信する代わりにパスワードリセットを使用するなど、大人が使用するWebサイトの最良のパスワードプラクティスに精通しています。しかし、認証システム幼児がいる教室で?クイック検索で見つけられませんでしたが、どこを見ればいいのか分からないのかもしれません。

考慮すべきいくつかの考慮事項を次に示します。

  1. 子供がパスワードを忘れたことはよく知られています。子供が大人より頻繁にパスワードを忘れたという証拠はありますか?子供はどのくらいの頻度でパスワードを忘れますか?
  2. 使いやすさはセキュリティと同じくらい重要です。パスワードの問題が原因で教室が遅れる場合、システムに障害が発生しています。しかし、私たちは子供たちに悪いパスワードの習慣を教えることもしたくありません。
  3. 教師は毎週パスワードを再設定する必要があるため、パスワードを忘れてしまう悪循環の子供たちが教師と生徒の両方に負担をかけないようにしたいと考えています。これにより、パスワードをプレーンテキスト/リバーシブル暗号化で保存したくなるので、教師は変更せずに以前のパスワードを生徒に教えることができますが、これは本当に価値がありますか?
  4. このサイトは学校の設定で使用されているため、教室にいるときはいつでも必要に応じて生徒のパスワードをリセットできる教師が常駐します。ただし、生徒が自宅のコンピュータからサイトにアクセスする必要がある場合があります。
  5. すべての子供がメールアドレスを所有しているわけではありません。私たちの州のほとんどの公立学校は学生に学校の住所を提供していますが、多くの私立学校は提供していません。したがって、肩越しにパスワードをリセットする必要があります。同じ理由で、 [〜#〜] sso [〜#〜] が常に使用できるとは限りません。
  6. おそらく誰もが他の人のパスワードを知っていれば、他の学生の作品にいたずらが起こるでしょう。
  7. おそらく、全員のパスワードを同じ値に設定することを考える教師がいるでしょう。
  8. おそらく、子供たちはまだ銀行口座でパスワードを再利用していないでしょう(ほとんどがまだ銀行口座を持っていないためです)。しかし、今から15年後、新しいパスワードを知りたくないので、同じパスワードを使い続ける人もいます(私は個人的に知っています)。
  9. パスワード入力をマスクする必要がありますか?多くの子供はまだタイプすることを学んでいるかもしれません、それでマスクされたパスワードは使いやすさの問題を提示するかもしれません。これは本当に心配ですか?
  10. おそらくベストプラクティスは、子供の年齢によって異なります。現在のところ、小学生の子供たちが心配です。
  11. システムまたは教師は生徒に自分のパスワードを割り当てる必要がありますか、それとも生徒は自分のパスワードを選択する必要がありますか?先生は生徒のパスワードを知っているべきですか?教師が生徒のパスワードをリセットできるだけでは不十分でしょうか?

この分野で行われた研究はありますか?

50
Lie Ryan

これは、Accessとセキュリティの問題ということになります。子どもたちはシステム内で自分自身を特定するためにログインし、「ログオン」の概念を理解していますか?または、彼らは他の子供たちからのセッションとデータを合法的に保護していますか?前者だと思います。

個人的な好み、お気に入り、または名前を避けることが重要だと思います。 好きな食べ物、ペットの名前、母親の名前などのようなもの。予期しない結果が生じる可能性があります。これらの「より軽い」側では、子供は「新しい」好きな食べ物を持つことができます。 「より重い」側では、おそらく彼らの母親またはペットがちょうど死亡した-または子供の両親はそれらに敏感な対象です。子供は大人ほど安定しておらず、状況に無理に対処したり説明したりする必要がある子どもにとってはトラウマになる可能性があります。

多くの学校はRoll Numberシステムを実装しています。そうでない場合は、学生に任意に番号を割り当てることができます。これはどんな慣習にも従うことができ、教室のネットワークセキュリティの実際の問題ではなく、より多くのアクセス/学習タスク(私は推測)であるため、より短いパスワードを使用できます。 "名の最初の文字、次にロール番号"など。

もちろん、これは本当の質問がidentificationの問題であり、authentication。詳細は少し重いですが、この答えはthis Security stackです。違いについて、そしてなぜ/いつ必要になるのかについて詳しく説明します。

あなたはしました、しかし、子供がお互いの仕事をいたずらに言及しました。このシステムを使用している子供たちの年齢を知ることは、子供たちが年を重ねるほどパスワードの要件と複雑さを増すので、役立つと思います。

  • childrenの場合は、非常に短いパスワードと簡単な監視で十分です。
  • 子供が思春期で、子供たちがいたずらをしているのをはっきりと見ることができる場合は、自分で作成したパスワードが適切です。 英数字のみが機能するはずです。11歳の子供がbruteforceクラスメートの宿題。
  • 子供が年をとるほど、要件を追加します。長さの要件を組み込みます。

また、より長いパスワード(必ずしもより複雑なパスワードである必要はありません)が実行可能であるとも言えます。 パスワードをよく知られた2つか3つの単語と数字にすることもできます。たとえば、「redshoes」、「greenpizza7」、および類似の色+名詞&color + noun + number規則は、(適切な年齢の)子供が作成および登録できます。教室の設定なので、生徒は使用前にパスワードを記憶する必要があります。

つまり、子供がシステムにログインする必要があるだけの場合は、システムを短く、シンプルで、使いやすいものにしてください。個人の詳細を尋ねないでください。彼らはうっかりして子供を傷つける可能性があります。年齢とともに要件と複雑さが増します。

10
Arman

私の息子は以前にこのようなサイト(DreamboxとRazKids)を使用していましたが、1年生と2年生(米国)の場合、クラスの名簿に名前が記載されており、ユーザー名の項目をクリックしました。パスワードは通常、選択された記号のいくつかの組み合わせでした。1年生のサイトは1つの記号にすぎなかったので、覚えやすいものでした。これにより、息子が学校から自分のアカウントにアクセスして使用できるようになり、ホームからアクセスできるように、サイトへのWebリンクが送られました。教師がどの学年レベルでパスワードをリセットするために何が必要かわからない、それらはすべて異なる可能性がある、そして私は若い子供たちが自分のことに夢中であり、他のアカウントへのハッキングが主要ではないことを学ぶという以前の回答に同意する彼らの思考処理ではまだ。

7
MichaelF

子供がパスワードを忘れたことはよく知られています。子供が大人より頻繁にパスワードを忘れたという証拠はありますか?子供はどのくらいの頻度でパスワードを忘れますか?

誰もが常にパスワードを忘れています。それは誰にとってもひどいシステムです。では、パスワードを覚えておかなくても何かできるのではないでしょうか。

使いやすさはセキュリティと同じくらい重要です。パスワードの問題が原因で教室が遅れる場合、システムに障害が発生しています。しかし、私たちは子供たちに悪いパスワードの習慣を教えることもしたくありません。

彼らに適切なパスワードの実践を教えることも、実際には実行可能ではありませんか?子供たちは、強力な暗号化されたパスワードのリストを単一の強力なパスワードでアクセスできるようにすることはありません。パスワードを持つこととパスワードを秘密にしておくことについて彼らに教えることは重要な部分です。簡単な遊び心のある方法(Wordを書き留めて、誰にも見せない)と、難しい、面白くない苦痛な方法***(長いランダムな文字列はどこにも保存されず、メモリに保存される)があります。簡単な方法で投票します。

教師は毎週パスワードを再設定する必要があるため、パスワードを忘れてしまう悪循環の子供たちが教師と生徒の両方に負担をかけないようにしたいと考えています。これにより、パスワードをプレーンテキスト/リバーシブル暗号化で保存したくなるので、教師は変更せずに以前のパスワードを生徒に教えることができますが、これは本当に価値がありますか?

最後に質問を最後まで見てください。

このサイトは学校の設定で使用されているため、教室にいるときはいつでも必要に応じて生徒のパスワードをリセットできる教師が常駐します。ただし、生徒が自宅のコンピュータからサイトにアクセスする必要がある場合があります。

すべての子供がメールアドレスを所有しているわけではありません。私たちの州のほとんどの公立学校は学生に学校の住所を提供していますが、多くの私立学校は提供していません。したがって、肩越しにパスワードをリセットする必要があります。同じ理由で、SSOが常に利用できるとは限りません。

おそらく誰もが他の人のパスワードを知っていれば、他の学生の作品にいたずらが起こるでしょう。

これはセキュリティシステムが対処すべき中心的な問題だと思います。学生が簡単に違反できないIDがあるはずです。

おそらく、全員のパスワードを同じ値に設定することを考える教師がいるでしょう。

賢い人々は常に***の苦痛です。

おそらく、子供たちはまだ銀行口座でパスワードを再利用していないでしょう(ほとんどがまだ銀行口座を持っていないためです)。しかし、今から15年後、新しいパスワードを知りたくないので、同じパスワードを使い続ける人もいます(私は個人的に知っています)。

私たちは、人々がすべてに対して単一の単純なパスワードを使用することを本当に防ぐことはできません。子供に16文字のパスワードを要求するのは確かに理由はありません。

パスワード入力をマスクする必要がありますか?多くの子供はまだタイプすることを学んでいるかもしれません、それでマスクされたパスワードは使いやすさの問題を提示するかもしれません。これは本当に心配ですか?

パスワードをマスクする本当の理由はありません: http://www.nngroup.com/articles/stop-password-masking/ 。特に家庭や教室の状況では意味がありません。

システムまたは教師は生徒に自分のパスワードを割り当てる必要がありますか、それとも生徒は自分のパスワードを選択する必要がありますか?

自分のパスワードを選択すると、覚えやすくなります。自分が持っている、持っている、または知っているもので認証します。パスワードがすでに知っているものである場合、それを知る必要はありません(何かのパスワードであることを覚えておく必要があります)。この状況では、私は彼らにパスワードを選ばせるのが望ましいと言います。大量のパスワードを処理する必要がある大人向けの他のシステムの場合、まったく覚えないことをお勧めしません(代わりに、生成してメールで送信するか、キーチェーンに保存します)。

先生は生徒のパスワードを知っているべきですか?教師が生徒のパスワードをリセットできるだけでは不十分でしょうか?

セキュリティに配慮したパスワードは回復可能であってはなりません(回復する必要はありません)。ただし、このセキュリティ機能は二次的なものです。毎回新しいパスワードを考える必要はなく、元のパスワードを覚えておくことをお勧めします。教師が簡単にパスワードを回復できるようにすると、システムの処理がより簡単になります。

提案

「あなたが持っているもの」についてもっと詳しくしてください。単語が書かれたカード(またはその単語のイラスト)をカードに与えて、その単語をパスワードにします。誰にもカードを見せず、なくさないように伝えます。これは非常に安全ではありませんが、クレジットカードのCVCコードよりも安全であり、どこでも使用されています。

3
Koen Lageveen

パスワードに苦労しているのは子供だけではありません

私はその調査に精通していませんが、すべての年齢の人々がパスワードに苦労していることは誰もが知っています。この点で、子供は大人と変わりませんが、まだ発達している認知能力が問題を悪化させます。

なぜ従来のパスワードを使用するのですか?

代替案があります。認証は、以下の任意の組み合わせを使用して実行できます。

  1. パスワードなど、知っているもの。
  2. IDカードなど、持っているもの。
  3. 指紋など、あなたが何か。

フレッドB.シュナイダー教授の続きを読む 知っている、持っている、または持っているもの

あなたが知っているものは最も単純である傾向がありますが、あなたが知っているものが一連の英数字でなければならないという理由はありません。

  • Microsoftの画像のパスワード または Androidのドットロック画面 などの2Dパターンを描画できます。
  • 選択肢のグリッドから選択した画像にすることもできます(または、2つまたは3つの画像のシーケンスを選択することもできます)。
  • それは色や形のシーケンスかもしれません。それは特定の色の形かもしれません。

創造的な可能性はたくさんありますが、ターゲットオーディエンスでテストするだけで、何が機能し何が機能しないかがわかります。

2
Chris Calo

手がかりは「子供」という言葉です:

  • 楽しみましょう。
  • 子供とコンピュータが共有する秘密にします。
  • 「登録」(退屈、大人)する代わりに、それを「秘密の発明」に変えましょう。 (楽しい、遊ぶ)
  • 秘密を思い出し、すばやく正しく正しく再入力したことを称賛する賞賛をたくさんください。たとえば、「すごく速くログインしたので、とても賢いです!」.

。 1.楽しい

私。視覚的かつインタラクティブに-写真、サウンド、ストーリー

  • 例1:Android "connect the dot"パスワードが好きです。よりカラフルにしてください。各ドットに音/トーン!
  • 例2:ペットを選択します。名前を付けます。色を選んでください。等.
  • 例3:パスワードを選択するときがきたとき、彼らを導くように見える「バディ」がいます。クマ?小さな虎?知りません。私はホッブズを考えています:p

ii。アルファベットと数字は避けてください。彼らは子供です。

.2。秘密の

iiストーリーがあるかもしれません。それは秘密の洞窟です。仲間と子供は秘密を使って洞窟を開けなければなりません。何であれ、子供を興奮させるものは何かを考え、彼らを引き留めておき、それでも彼らが秘密を共有する可能性を減らします。


パスワードを作成するための私の提案:

彼らは相棒、豚を選ばなければならないのですか?ウサギ?猫?それは彼ら次第です。彼女は家を持っていないので、仲間は泣いています。最初のバディの家を選びます。バディはとても幸せです!それからバディと子供は一緒に歩いて、彼の靴の色が好きではないので隠れている別のバディを見つけます。彼の色を選んでください!今、彼は幸せで、あなたの友達です!わーい! ...バディとアソシエーションを1つずつ追加すると、パスワードが設定されます。

パスワードを入力するための私の提案:

子供はパスワードのページに行きます。彼らは彼女を見つけるために最初の仲間の家に行かなければなりません( "選択")。彼女は幸せです!そして、2番目のバディと3番目のバディを見つけるための旅。

2
a20

ユーザー名の代わりにロール番号を使用することをお勧めします。ロール番号は一意であり、子供が覚えやすいためです。 「ロール番号」というラベルを付ける代わりに、「あなたのロール番号は何ですか?」のような質問としてラベルを付けることができます。

パスワードについては、実際には登録時に複数の質問と回答を設定することができます。例:3)1)母親の名前は何ですか?
2)一番好きな色は?
3)あなたのペットの名前は何ですか?

ログインページの作成中に、パスワードの代わりにこれらの質問のいずれかをランダムに尋ねることができます。答えが間違っている場合は、セットから次の質問をします。正解するとログインします。

0
Jeet