¿Qué debo hacer cuando mi jefe me dice que haga las contraseñas iguales a los nombres de usuario en nuestro software de forma predeterminada?

Question

Mi jefe está en contra de exigir a nuestros usuarios que tengan contraseñas seguras, incluso hasta el momento de solicitar que se configuren de manera predeterminada para que tengan las contraseñas igual que su nombre de usuario. ¿Que debería hacer en esta situación? ¿Qué harías?

Actualizar : algunos usuarios han planteado la cuestión de si la aplicación necesita alta seguridad. Esta no es información de tarjeta de crédito, por ejemplo, pero sí incluye información confidencial y una funcionalidad de administración y envío de listas de correo.

Answer 1

Haga el mejor caso posible para contraseñas seguras y luego, desafortunadamente, si no ven su punto de vista, haga lo que pidieron o encuentre un mejor trabajo.

Answer 2

Lo que te dicen.

... Luego, comuníquele al superior, por escrito, qué problemas causarán.

No CC a nadie. Esta es mi opinión, por supuesto. Si tu CC se verá obvio. Realmente solo quieres seguridad pero tienes que cubrirte. Sin embargo, no tienes que estar detrás de un caballo.

Manténgalo en el buzón enviado, imprímalo, lo que sea, si está realmente preocupado.

editar: haces lo que te dicen a menos que sea una cuestión de vileza moral. Luego simplemente documenta lo que hizo y por qué lo hizo. Solo recuerde que si no lo documenta, no sucedió. Documentar es algo que siempre debes hacer.

Answer 3

Como compromiso, hay mejores valores predeterminados, como usar el número de serie del usuario, el año de nacimiento, las iniciales, alguna combinación, dependiendo de lo que tenga a mano. No es el más seguro, pero tampoco el menos importante.

Answer 4

¿Su aplicación requiere alta seguridad? Si los datos controlados por su software no son confidenciales y el riesgo para el usuario es bajo, tal vez realmente no necesite contraseñas seguras.

Si su aplicación presenta un riesgo significativo para el usuario si se permite que las contraseñas sean débiles, debe presentar ese caso lo mejor que pueda, por escrito. Si puede cuantificar el riesgo y la responsabilidad, hágalo, pero en última instancia tendrá que dejar la decisión en manos de sus superiores.

Answer 5

No hay nada de malo con una contraseña predeterminada , igual que el nombre de usuario, siempre que el sistema solicite que el usuario cree una nueva contraseña la primera vez que el usuario inicie sesión. hay bajo requerimiento de seguridad Si está manejando datos confidenciales, la seguridad de la contraseña debe ser de un nivel adecuado. No has dicho qué datos estás escondiendo. No tiene sentido tener contraseñas muy fuertes (12 caracteres, minúsculas, mayúsculas, dígitos y símbolos y no hay palabras del diccionario) si se trata de un sistema de seguimiento de tiempo basado en intranet. Si está accediendo a algo como una base de datos de registro de impuestos, entonces necesitará al menos dos niveles de autenticación: contraseña de cadena y generación de una clave de tiempo.

Answer 6

Deberías golpearlo fuerte. Explíquele a él / ella qué tipo de mala publicidad puede ocurrir debido a esto, también depende de los datos, ley de protección de datos y cosas similares que realmente pueden causar una responsabilidad grave. Básicamente, hacerlo puede considerarse como un defecto de software, por lo que la empresa puede ser responsable de los resultados.

Básicamente necesitas darle una razón que lo morderá, asustarlo. Así es como vendes seguridad y seguros :)

Si tu jefe no puede descubrir una cosa tan simple y no puede confiar en gente como tú al final, tal vez deberías comenzar a buscar un nuevo lugar en el que puedas usar tu propio potencial en lugar de tratar con este tipo de cuestiones.

Answer 7

Esto es poca seguridad.

Si puede dar lugar, por ejemplo, a un robo de identidad para sus usuarios, tiene una responsabilidad social muy seria para mejorar la seguridad. Esencialmente estás tratando con la vida de las personas. Ve a tu jefe, ve a su jefe. Imprime estos comentarios y tráelos. Diríjase a su departamento legal y dígales cuánta exposición causa esto. Si su empresa estuviera deshaciéndose de desechos tóxicos, se aplicarían las leyes de sopladores. La información personal y el robo de identidad no es menos grave. Haga todo por escrito para cubrirse y proporcionar un rastro de pruebas en papel para las demandas que seguramente seguirán. No permita que su compañía niegue ningún conocimiento del riesgo después del hecho. Las compañías que implementan a sabiendas una seguridad horrible que resulta en un robo de identidad deberían fallar en el mercado y no merecen más que vergüenza, ridículo y fracaso.

Si, por otra parte, esta seguridad deficiente puede resultar en cosas comparativamente menores, entonces su esfuerzo por mejorar la seguridad también puede reducirse de lo que describo anteriormente.

Answer 8

Envíele por correo electrónico su inquietud (de forma no agresiva). Da el vector de ataque lógico, revela lo que estará expuesto. Cierre preguntando por su confirmación, esta es su instrucción. Luego envíale (solo él, como se sugirió anteriormente)

Archivo de correo electrónico tanto su correo electrónico original como su confirmación. Esto te cubrirá si algo sucede.

Answer 9

Argumentar el caso para tener contraseñas más seguras, pero también hacer un compromiso. ¿Se han reemplazado las contraseñas como predeterminadas al nombre de usuario con ciertas letras con números? Todo esto también depende del sistema. Si este es un sistema interno, podría ser bastante difícil para alguien obtener acceso al sistema & amp; hacer cualquier daño.

Answer 10

Haz lo que dice tu jefe, pero haz que las contraseñas caduquen en un período de tiempo relativamente corto.

Answer 11

Reuniría un documento de resumen sobre políticas de contraseñas, beneficios de contraseñas seguras, etc., y se lo enviaré para que lo revise e intente que sea parte de la política de la empresa. Si aún no les gusta, entonces haga lo que les pidan, ya que son el cliente final y usted ha hecho su parte para educarlos sobre las dificultades.

Answer 12

¿Por qué usar usuario / contraseña en el primero?

• para registrar la actividad del usuario?
• ¿El sistema operativo lo pide?

si desea conectar una acción (lo que sea) con un usuario, yo como usuario requeriría que mi contraseña esté segura.

si su jefe tiene miedo, puede perder " conocimiento " ;, si un usuario está ausente, y necesita acceder a los datos de los usuarios, requiere que todos escriban su contraseña en un sobre sellado.

si tu jefe no confía en ti, kündige!

Peter

Answer 13

Consideraría lo que está detrás de la solicitud de tenerlo de esa manera primero.

¿Es realmente un usuario activo con nombre de usuario + contraseña? ¿Qué se debe configurar en primer lugar? es decir, quizás el usuario debería estar recibiendo un correo electrónico con un enlace para activar :)

¿Cuándo entra la información confidencial en el sistema? Suponiendo que sea ingresado por el usuario, solo tiene un paso de activación donde el usuario cambia la contraseña (o es la primera vez que tiene una contraseña).

Tenga en cuenta que si está trabajando con información confidencial, es probable que exista una ley relacionada con ella. También lo consideraría, si es ilegal, es un caso sólido, y en ese caso, realmente debería considerar decir claramente que no (explicando la razón, por supuesto, primero).

Answer 14

Dijo que tenían que ser todo en minúsculas ... ¿Dijo explícitamente que tenían que no incluir números ...

Answer 15

Deberías hackear su cuenta. Entonces sabrá por qué nombre de usuario = contraseña no funciona.

Answer 16

Me he encontrado con esto antes, donde no querían usar una contraseña segura y / o bloquear sus computadoras.

Entonces sucedió que nuestro sitio web había sido pirateado (no b / c de una violación de la contraseña, pero b / c de componente / módulo defectuoso para el CMS que usamos, pero esa es una historia diferente) y en varias ocasiones diferentes , la gente ha iniciado sesión en la computadora del ejecutivo para ver algunas cosas inapropiadas.

El motivo de esta explicación es para decir que no fue hasta este y algunos otros estudios de caso que llamé su atención que entendieron lo importante que es para las contraseñas seguras.

Como solución, puede intentar investigar un poco sobre casos de estudio en los que se ha producido una infracción en sistemas o sitios donde la información almacenada o protegida no era muy importante, pero la causa dañada y el dinero que costó recuperarla fue considerable. - por ejemplo, si alguien está configurando una estafa de suplantación de identidad (phishing) en su sitio, el hecho de retener a un servidor o sitio & amp; tener que limpiar todo el cuadro para volver a empezar, o algún otro tipo de incumplimiento.

De todos modos, tómalo por lo que vale.

Answer 17

Se te ocurren algunas cosas que podrías compartir con tu jefe -

1. La mayor amenaza para la seguridad no son los forasteros, son las personas con las que trabajas. Si hubo alguien despedido por causa desde que estuvo allí, coménteselo a tu jefe: " ¿Qué pasaría si XXXX tuviera acceso a las cuentas de otras personas? & Quot; Esa persona muchos no roban datos, pero pueden intentar destrozar el sistema o ensuciar los datos por despecho. ¿O podrían incluso compartir esos datos con un competidor?

2. Proponer un valor predeterminado algo más fuerte como compromiso: nombre de usuario y 4 dígitos del número de teléfono de la casa. No es mucho más fuerte, pero hace que adivinar sea un poco más difícil.

3. Las personas pueden crear contraseñas bastante seguras utilizando mnemónicos. Sin embargo, necesitas entrenar a la gente en cómo hacer eso. Ofrezca celebrar una sesión con sus usuarios sobre cómo crear contraseñas seguras. Honestamente, no solo es bueno para donde trabajan, sino para cualquiera que compre o realice transacciones bancarias en línea. Algo que es fácil para las personas de TI que tienen que hacer malabarismos con varias contraseñas puede ser más difícil para los demás.

Por cierto, encontré un buen generador de javascript de contraseñas mnemónicas.

http://digitarald.de/playground/mnemonic-password-generator/

Answer 18

He encontrado situaciones en las que varias personas comparten una contraseña, porque a veces la seguridad es menos importante que otras cosas. Especialmente en intranets.

Una solución puede ser almacenar la dirección IP de cada usuario. Es una medida de seguridad más cercana a las cámaras de seguridad que a las cerraduras, pero podría ser suficiente para lo que su jefe tiene en mente.

Answer 19

Slough puede estar en algo, pero puede ser demasiado duro.

Tal vez tome un enfoque de combinación.

Haz lo que se te pide, pero cuando lo hagas, asegúrate de que se rompa, o tienes algún mecanismo que muestre cómo o por qué no es un enfoque seguro. (Esto pasará por un proceso de revisión antes de implementarse, ¿no?)

También encuentre cualquier documentación que describa "mejores prácticas de codificación" de colegas respetados de la industria, ya sea en libros o en línea o incluso en colegas de oficina que puedan respaldar su punto de vista. Presente sus fuentes, y si se ignoran, ha cumplido con su deber y la diligencia debida, y el resultado final descansará sobre los hombros de los superiores.