传播login信息的好方法，特别是在创build新用户的时候。

你可能想要查看关键的分布问题（谷歌揭示了大量的信息），因为你列出的问题是很多理论和实际密码学的基础。 通常用户名不被认为是秘密的; 对于许多网站，它由一个电子邮件地址组成，而且对于许多学术机构来说，它由学生的姓名首字母组成，后缀为一个唯一的整数。 这往往使用户名易于找出。 实际上，一些学术机构主动公开地使用它们来指代学生。 当然，在这种types的安全性中密码是最重要的。 它应该设置为初始值（除非可以确保初始密码将由学生在受控条件下（例如在初始注册后）input，并且这应该由学生在首次login时进行更改。这应该是强制执行，否则无法知道密码是否已经被破坏。 如果学生成功login并更改密码，则密码之前是否已被读取并不重要，因为它现在已经被更改。 如果学生无法login，则密码可能已被泄漏，因此这将被检测到。 这与银行用于发行信用卡PIN码的基本方法是一样的 – 尽pipe大多数人不会去更改已经发送的PIN码。

确保学生至lesslogin一次，以便更改密码（可能是通过发送时间表或通过电子邮件发送）（如果电子邮件链接到系统帐户）或将文件复制到用户区域，这一点非常重要。

工作人员不应该被告知密码，这应该在整个网站上执行。 事实上，除了学生之外，没有人应该知道密码。

至于初始密码的分配，你可以给每个学生打印一封信，要求他们收集信件（虽然这将花费很多时间），分发给导师或导师（密封 – 虽然没有提供任何安全性，强制执行密码更改将确保密码未被克隆），或将其发送到他们的地址。 我真的不打印任何密码列表。

我不知道你所在的州，但是如果你谈论的是公立学校，那么我们在那里有一个指令，就是我们必须改变州审计员的密码。 无论如何，这是给我的要求。

在我们的情况下，我们有最低的复杂性要求和老化要求。

这一切都是通过Active Directory设置的，您可以在第一次login时将其设置为强制更改密码，以及密码更改（我们三个月）之间需要多长时间。 我们的复杂性与最后三次使用的密码不一样，不能把你的名字或用户名作为密码的一部分，必须有一个数字/标点符号/小写/小写混合（这三种混合forms）。

这样，当用户需要更改密码时，我们只需将其更改为通用（例如Resetme54321），然后在用户第一次login时提示他们更改密码。

我们也有应该遵循的政策。 教师不应该有密码（有些必须出于某些原因，我不会介入），但已经明确表示…或者我们试图澄清…如果约翰尼的帐户被用于分享或者在不应该在的地方戳，约翰尼被叫到校长。 如果老师也有密码，他们也可能会遇到麻烦，因为他们可以访问该帐户。 所以，如果johnnydoe被发现在网上浏览色情网站或炸弹材料…任何人与该帐户信息是可疑的。

再一次…不知道你的具体情况，但是如果你在公立学校系统，并且你的部门有审计人员检查你的系统，你可能需要在你进行审计之前与他们核对他们的要求，或者检查你的州相当于一个国际单位（PA）的中间单位，他们做一些事情，比如向一个地区的学校提供​​技术和州政府服务，培训，在这附近做一个软件许可销售，咨询，服务器维护，托pipe。 。你可以谷歌为宾夕法尼亚州中间单位的例子提供什么不同的。）不同的状态可能做不同的事情。

我的同事build议将凭证列表输出到encryption的PDF文件中。 我觉得这很有意义，因为我只需要给每个学校的校长一个密码，他可以和教职员分享，当有人打开这个文档的时候，会提示input密码来解密它自动。

我甚至可以让工作人员无法打印文件，但是我希望这会让很多人对我感到不满，并没有真正的好处。