学校は定期的なパスワード監査を実行します。パスワードは危険にさらされていますか？

私の理解では、私のパスワードがプレーンテキストで保存されていない限り、彼らが私のパスワードを定期的にチェックする方法はないはずです。

実際には、割れがあります。

ハッシュされたパスワードに対してシステム管理者がクラッキングツール（John the Ripper、Hashcatなど）を実行する既知の方法があります。単純なパスワードを持つ人々は、ほんのわずかな時間で解読される可能性があります。したがって、彼らがそれを定義するときに、彼らがあなたのパスワードをクラックした場合、それは簡単に発見されて危険にさらされました。

引用するには この記事 リッパージョンについて：

ジョンをどのように使用するかはあなた次第です。システムのすべてのパスワードハッシュで定期的に実行して、ユーザーのパスワードのどの割合が安全でないかを知ることができます。次に、パスワードの割合を減らすためにパスワードポリシーを変更する方法を検討します（おそらく最小長を増やします）。弱いパスワードを持つユーザーに連絡して、パスワードの変更を依頼することをお勧めします。 または、問題が何らかのユーザー教育プログラムを必要とし、それらを書き留めなくても覚えられるより安全なパスワードを選択できるようにする場合もあります。

あなたの大学はあなたのパスワードを平文で保存していないかもしれません。彼らはあなたのパスワードの平文を取得する非常に簡単な方法を持っています、そして私は彼らが少なくとも1日に数回それにアクセスすることができると思います。

ログオンするたびに、パスワードをプレーンテキストで提供します。

オンラインクラスを管理したり、成績を確認したりするサイトなど、ホストしているアプリケーションにログインしていて、オンラインアプリケーションのソースコードを持っている場合は、平文のパスワードを保存せずに簡単にアクセスできます。またはそれを別のシステムに送信し、その時点でパスワードのセキュリティをチェックできます。

また、シングルサインオンサービスを使用している場合は、ログイン時にパスワードの強度を確認することもできます。

しかし、それはまだ非常に魚のようです。大学のIT部門に連絡して、パスワードが安全に保存されていることを確認してください。彼らがあなたのパスワードをどのようにチェックしたかについて、先のとがった質問をしてください。

そして、私のアドバイスの残りの部分は、標準のインターネット認証のアドバイスに従います。パスワードを変更する場合は、メールで送信されたリンクではなく、通常の方法で変更してください。パスワードマネージャーを使用して、長いランダムパスワードを保存および生成します。 （理想的には、パスワードは2つだけ知っておく必要があります。コンピューターにログインするためのパスワードと、パスワードマネージャーにログインするためのパスワードです。）いかなる目的でもパスワードを再利用しないでください。

また、大学のIT部門と話しているときに、2要素認証について質問します。

ここで行う必要があるいくつかの仮定がありますが、私があなたが参照する大学のパスワードはActive Directoryアカウントのパスワードであると私が想像するでしょう。 Active Directoryパスワードは、ソルトされないNTLMハッシュ形式のパスワードを扱います。これを念頭に置いて、異なる環境で同じパスワードを使用すると、ハッシュ値は同じになります。

Troy Huntは Pwned Passwords と呼ばれるサービスを提供しており、管理者は5億1700万のパスワードハッシュをダウンロードできます。学校のIT部門がActive Directoryのパスワードハッシュを、前述のデータに何度も現れるハッシュと比較している可能性があります。

パスワードをプレーンテキストで保存している間はときどき発生しますが（主に独自仕様のWebアプリケーションで）、前述のシナリオは、それらがどのように行われたかに関する私の仮定ですパスワードが弱いと判断しました。

それが表示したパスワードは、スペースで区切られた英語の単語である、私の古い（弱い）パスワードでした。

参考までに-いいえ。それは言葉とその数に依存します。いくつかのランダムな辞書の単語を組み合わせることは、実際には非常に優れたパスワードです。

もちろん、関連するxkcdにリンクする必要があります。