Was soll ich tun, wenn mein Chef mir sagt, die standardmäßig in unserer Software Passwörter das gleiche wie Benutzernamen zu machen?

Question

Mein Chef ist gegen unsere Nutzer, die sichere Passwörter haben, auch so weit gehen sie Setup standardmäßig sein zu fordern Passwörter als ihren Benutzernamen das gleiche zu haben. Was soll ich in dieser Situation tun? Was würden Sie tun?

Aktualisieren - Einige Nutzer haben sich die Frage, ob die Anwendung benötigt eine hohe Sicherheit gebracht. Dies ist keine Kreditkarteninformationen zum Beispiel tut, aber sensible Informationen und ein Mailing-List-Management und das Senden Funktionalität umfassen.

Answer 1

Machen Sie den Besten Fall, dass Sie für starke Passwörter können und dann leider, wenn sie Ihre Sicht nicht sehen, entweder tun, was sie gefragt oder einen besseren Job finden.

Answer 2

Was man dir sagt.

... Dann respecfully das überlegene Know lassen in schriftlicher Form, welche Probleme, die verursachen wird.

Sie CC niemanden. Das ist meine Meinung, natürlich. Wenn Sie CC wird es offensichtlich aussehen. Sie wollen wirklich nur Sicherheit, sondern man muss sich decken. Sie müssen nicht, obwohl ein Pferd ist hinter darüber sein.

Halten Sie es in Ihrer abgeschickt Box, ausdrucken, was auch immer, wenn Sie wirklich besorgt.

bearbeiten - Sie tun, was dir gesagt wird, es sei denn es irgendeine Art von Frage der Sittlichkeit ist. Dann dokumentieren Sie einfach, was Sie getan haben und warum Sie es getan haben. Denken Sie daran, dass, wenn Sie es nicht dokumentiert - es ist nicht geschehen. Dokumentieren ist etwas, sollten Sie immer tun.

Answer 3

Als Kompromiss gibt es viel besser Standardwerte, wie die Seriennummer des Benutzers verwenden, Geburtsjahr, Initialen, eine Kombination, je nachdem, was Sie zur Hand haben. Nicht die sicherste, aber nicht zuletzt auch nicht.

Answer 4

Ist Ihre Anwendung erforderlich hohe Sicherheit? Wenn die von der Software gesteuerten Daten sind nicht empfindlich, und das Risiko für den Anwender ist gering, vielleicht wirklich Sie keine starken Passwörter benötigen.

Wenn Ihre App ein erhebliches Risiko für den Benutzer darstellen wird, wenn Passwörter erlaubt sind, schwach zu sein, sollten Sie diesen Fall machen so gut Sie können, schriftlich. Wenn Sie Risiko und Haftung quantifizieren können, tut so, aber letztlich werden Sie die Entscheidung bis zu Ihren Vorgesetzten verlassen.

Answer 5

Es ist nichts falsch mit einer default Passwort gleich den Benutzername zur Verfügung gestellt, dass die Systemanforderungen, die der Benutzer ein neues Passwort der Benutzer anmeldet zum ersten Mal erstellt. Sie dann alles als Passwort zulassen, wenn es gibt geringe Sicherheitsanforderungen. Wenn Sie sensible Daten sind Handhabung, dann muss der Passwortstärke eines angemessenen Niveau. Sie haben nicht gesagt, welche Daten Sie versteckt. Es gibt keinen Punkt in mit super starke Kennwörter (12 Zeichen, Kleinbuchstaben, Großbuchstaben, Ziffern- und Symbol und keine Wörter aus Wörterbuch), wenn es ein Intranet basierte Zeit-Tracking-System ist. Wenn Sie so etwas wie eine Steuerdatensatz-Datenbank zugreifen sind dann würden Sie müssen mindestens zwei Level-Authentifizierung -. String Passwort und einmal Schlüsselerzeugung

Answer 6

Sie sollten ihn hart getroffen. Erklären Sie ihm / ihr, was für schlechte Publicity wegen dies passieren könnte, hängt auch von den Daten, Datenschutzgesetz und ähnliche Sachen ernsthafte Haftung tatsächlich verursachen kann. Im Grunde ist es so tun, als ein Softwarefehler kann daher in Betracht gezogen wird Unternehmen können für die Ergebnisse verantwortlich sein.

Im Grunde Sie ihm einen Grund geben müssen, die ihn beißen, erschreckt ihn. Das ist, wie Sie verkaufen Sicherheit und Versicherung:)

Wenn Sie Chef kann nicht herausfinden, so eine einfache Sache und nicht vertrauen kann, Leuten wie du am Ende, vielleicht sollten Sie sich für einen neuen Ort suchen beginnen, die Sie tatsächlich Ihr eigenes Potenzial nutzen können, anstatt mit dieser Art des Umgangs von Themen.

Answer 7

Dies ist eine schlechte Sicherheit.

Wenn es führen kann, zum Beispiel identifiziert Diebstahl für die Benutzer, dann haben Sie eine sehr ernste soziale Verantwortung, die Sicherheit zu verbessern. Sie sind im Wesentlichen mit dem Leben der Menschen zu tun. Gehen Sie zu Ihrem Chef, gehen Sie zu seinem Chef. Drucken Sie diese Kommentare und bringt sie zusammen. Gehen Sie zu Ihrer Rechtsabteilung und ihnen sagen, wie viel Belastung dies verursacht. Wenn Ihr Unternehmen toxische Gebläse Abfallpfeife ist Dumping Gesetze gelten würden. Persönliche Daten und Identitätsdiebstahl ist nicht weniger ernst. Tun Sie alles in schriftlicher Form selbst zu decken und einen Papierspur von Beweisen für die Klagen zu schaffen, die sicher folgen. Lassen Sie Ihr Unternehmen keine Kenntnis des Risikos nach der Tat leugnen. Unternehmen, die wissentlich schreckliche Sicherheit implementieren, die in den Ergebnissen Diebstahl identifizieren sollte auf dem Markt versagen und verdienen nichts als Schande, Spott und Misserfolg.

Wenn auf der anderen Seite diese arme Sicherheit kann in vergleichsweise kleinere Dinge führt dann Ihre Bemühungen um die Sicherheit zu verbessern, auch wieder von skaliert werden kann, was ich oben beschrieben.

Answer 8

E-Mail an ihn Ihr Anliegen (in einer nicht-aggressiven Art und Weise). Geben Sie den logischen Angriffsvektor, offenbaren, was ausgesetzt wird. In nächster Nähe für seine Bestätigung taht fragt dies seine Anweisung. Dann schickt ihn (nur er, wie zuvor vorgeschlagen)

E-Mail-Archiv sowohl Ihre ursprüngliche E-Mail und seine Bestätigung. Dadurch werden Sie decken, wenn etwas passiert.

Answer 9

Argue den Fall für eine stärkere Passwörter haben, sondern auch einen Kompromiss machen. Sind die Passwörter in Bezug auf die Benutzernamen mit bestimmten Buchstaben säumige vielleicht durch Zahlen ersetzt? Dies hängt alles von dem System als auch. Wenn dies ein internes System, könnte es sehr schwierig sein für jemanden, den Zugriff auf das System zu erlangen und schaden.

Answer 10

Tun Sie, was Ihr Chef sagt, aber die Passwörter innerhalb einer relativ kurzen Zeitspanne ablaufen machen.

Answer 11

Ich habe ein zusammenfassendes Dokument auf Kennwortrichtlinien würde, Vorteile von starken Passwörtern, etc. und lege ihn zur Überprüfung an ihn und versuchen, und es ist Teil der Unternehmenspolitik zu machen. Wenn sie noch nicht gefällt dann tun, was sie fragen, wie sie die Endkunden sind und Sie haben Ihren Teil getan, um sie über die Gefahren aufzuklären.

Answer 12

warum Benutzer / pasword im ersten mit?

• Benutzeraktivität anmelden?
• das Betriebssystem fordert das?

Wenn Sie eine Aktion (was auch immer) mit einem Benutzer verbinden, ich als Benutzer würde erfordern, dass mein Passwort sicher sein!

, wenn Ihr Chef hat Angst, dass er verlieren kann „Wissen“, wenn ein Benutzer entfernt ist, und er braucht Zugang zu bekommen, um die Daten uesers, jeden erfordern, sein Passwort in einem versiegelten Umschlag zu schreiben.

, wenn Ihr Chef hat Ihnen nicht vertrauen, Kundigen!

Peter

Answer 13

Ich würde überlegen, was hinter dem Antrag ist zunächst, dass es so zu haben.

Ist es wirklich ein aktiver Benutzer mit Benutzername + Passwort, was sollte in erster Linie eingerichtet werden wird? das heißt vielleicht sollte der Benutzer eine E-Mail mit einem Link empfangen zu aktivieren:)

Wann wird die sensiblen Daten kommt in das System? Unter der Annahme, es ist durch den Benutzer eingegeben, nur einen Aktivierungsschritt, wo der Benutzer das Passwort ändert (oder ist das erste Mal (e) er hat ein Passwort für diese Angelegenheit).

Beachten Sie, dass, wenn Sie mit vertraulichen Informationen arbeiten, es ist wahrscheinlich ein Gesetz, um es in Bezug ist. Ich würde auch in das aussehen, wenn es illegal ist es für einen starken Fall macht, und in diesem Fall sollten Sie wirklich in Betracht ziehen sagen schlicht nicht (Erklärung der Grund zunächst natürlich).

Answer 14

Hat er gesagt, sie hatten alle Klein sein ... Hat er ausdrücklich sagen, sie hatte keine Zahlen enthalten ...

Answer 15

Sie sollten auf sein Konto hacken. Dann wird er wissen, warum username = Passwort nicht funktionieren.

Answer 16

Ich habe, bevor sie in diese laufen, wo sie ein sicheres Passwort verwenden, wollte nicht, dass & / oder sperren ihren Computern.

Dann passierte es unsere Website gehackt worden war (nicht b / c eine Passworts Verletzung, aber b / c fehlerhafter Komponente / Modul für das CMS, die wir früher - aber das ist eine andere Geschichte) und in ein paar verschiedenen Gelegenheiten haben die Menschen in den exec Computer protokolliert ein paar unangemessenen Dinge zu sehen.

Der Grund für diese Erklärung ist zu sagen, dass es nicht bis zu diesem und einigen anderen Fallstudien, die ich zur Kenntnis gebracht, dass sie verstanden, wie wichtig es für sichere Passwörter ist.

Als Lösung können Sie versuchen, einige der Forschung auf Fallstudien zu tun, wo ein Bruch auf Systemen oder Standorten aufgetreten ist, wo die Informationen gespeichert sind oder geschützt war nicht sehr wichtig, aber die beschädigte Sache und Geld brauchte war erheblich zu erholen -. wie jemand einen Phishing-Betrug auf Ihrer Website, der Holding Geisel ein Server oder eine Website und mit der Einrichtung sauber das gesamte Feld wischen von vorne beginnen, oder eine andere Art von Verletzung

Wie auch immer, nehmen Sie es für das, was es wert ist.

Answer 17

Ein paar Dinge in den Sinn kommen, dass Sie mit Ihrem Chef teilen möchten -

1. Die größte Bedrohung der Sicherheit ist nicht Außenseiter, es ist die Leute, mit denen Sie arbeiten. Wenn es hat jemand mit Ursache entlassen, da Sie dort gewesen sind, dass Sie mit Ihrem Chef bringen - „Was ist, wenn XXXX Zugang zu anderen Menschen der Konten hatten?“ Diese Person viele nicht Daten stehlen, aber sie versuchen, das System oder Chaos mit Daten aus Trotz mutwillig zerstören. Oder könnten sie sogar, dass die Daten mit einem Konkurrenten teilen?

2. Vorschlag für einen etwas stärkeren Standard als Kompromiss - Benutzername und 4 Ziffern privater Telefonnummer. Es ist nicht viel stärker, aber es macht ein wenig schwieriger zu erraten.

3. Die Menschen können ziemlich sichere Passwörter machen von Mnemotechnik verwenden. Allerdings müssen Sie die Menschen in trainieren, wie das zu tun. Bieten Sie eine Sitzung mit Ihren Benutzern zu halten, wie sichere Passwörter erstellen. Ehrlich gesagt, es ist nicht nur gut für die, wo sie arbeiten, sondern für alle, die Geschäfte oder Banken online. Etwas, das für IT-Leute einfach ist, die mehrere Passwörter jonglieren kann für andere schwieriger sein.

BTW, fand ich einen schönen Javascript Generator von mnemonic Passwörtern.

http://digitarald.de/playground/mnemonic-password-generator/

Answer 18

Ich habe Situationen gefunden, wo ein Passwort von mehreren Personen gemeinsam genutzt wird, weil manchmal Sicherheit ist weniger wichtig als andere Sachen. Speziell in Intranets.

kann eine Lösung sein, die IP-Adresse speichern jeden Benutzer. Es ist eine Sicherheitsmaßnahme näher an Sicherheitskameras als an Schleusen, aber es könnte für das, was Ihr Chef im Sinne hat genug sein.

Answer 19

Slough auf etwas sein kann - aber es könnte zu hart sein.

Vielleicht eine Kombination Ansatz.

Sie what`s gefragt - aber wenn es zu präsentieren, stellen Sie sicher, dass es bricht, oder Sie einen Mechanismus haben, die zeigen, wie oder warum es nicht eine sichere Annäherung. (Dies wird ein Überprüfungsverfahren durchlaufen, bevor sie umgesetzt oder?)

finden sie auch alle Unterlagen, die „beste Codierung Praktiken“ aus angesehenen Branchenkollegen entweder in Büchern oder online oder sogar Büro-Kollegen, die in der Lage sein zu sichern Ihre Sicht beschreibt. Präsentieren Sie Ihre Quellen, und wenn sie ignoriert, Sie haben Ihre Pflicht und Due Diligence durchgeführt, und das Endergebnis wird ruht auf den Vorgesetzten Schultern.