Que dois-je faire lorsque mon patron me dit de rendre les mots de passe identiques aux noms d'utilisateur par défaut dans notre logiciel?
https://stackoverflow.com/questions/606830
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Mon patron est opposé à l'obligation pour nos utilisateurs de disposer de mots de passe sécurisés, allant même jusqu'à demander qu'ils soient configurés par défaut pour que leurs mots de passe soient identiques à leur nom d'utilisateur. Que dois-je faire dans cette situation? Que feriez-vous?
Mettre à jour : certains utilisateurs ont soulevé la question de savoir si l'application nécessitait une sécurité élevée. Ce ne sont pas des informations de carte de crédit, par exemple, mais incluent des informations confidentielles et une fonctionnalité de gestion et d’envoi de liste de diffusion.
La solution
Faites de votre mieux pour les mots de passe forts, puis malheureusement, s’ils ne voient pas votre point de vue, faites ce qu’ils vous ont demandé ou trouvez un meilleur travail.
Autres conseils
Ce qu'on vous dit.
... Puis écrivez respectueusement au supérieur les problèmes que cela posera.
Ne CC personne. Ceci est mon avis, bien sûr. Si vous CC ça va paraître évident. Vous voulez vraiment juste la sécurité mais vous devez vous couvrir. Vous n'êtes pas obligé d'être un cheval à ce sujet.
Conservez-le dans votre boîte d'envoi, imprimez-le, peu importe, si vous êtes vraiment concerné.
modifier - Vous faites ce que l'on vous dit, sauf s'il s'agit d'une sorte de question de turpitude morale. Ensuite, vous documentez simplement ce que vous avez fait et pourquoi vous l’avez fait. N'oubliez pas que si vous ne le documentez pas, cela ne s'est pas produit. La documentation est quelque chose que vous devriez toujours faire.
En guise de compromis, il existe de bien meilleures solutions par défaut, telles que l’utilisation du numéro de série de l’utilisateur, de son année de naissance, de ses initiales, de certaines combinaisons, en fonction de ce que vous avez sous la main. Pas le plus sûr mais pas le moins non plus.
Votre application requiert-elle un niveau de sécurité élevé? Si les données contrôlées par votre logiciel ne sont pas sensibles et que le risque pour l'utilisateur est faible, vous n'avez peut-être pas vraiment besoin de mots de passe forts.
Si votre application présente un risque important pour l'utilisateur si les mots de passe sont autorisés à être faibles, vous devez expliquer ce problème du mieux que vous pouvez, par écrit. Si vous pouvez quantifier le risque et la responsabilité, faites-le, mais vous devrez laisser la décision à vos supérieurs.
Un mot de passe par défaut est identique à celui utilisé pour le nom d'utilisateur, à condition que le système demande à l'utilisateur de créer un nouveau mot de passe lors de sa première connexion. Vous autorisez alors tout mot de passe si les exigences de sécurité sont faibles. Si vous manipulez des données sensibles, la force du mot de passe doit être d'un niveau approprié. Vous n'avez pas dit quelles données vous cachez. Il ne sert à rien d'avoir des mots de passe très forts (12 caractères, minuscules, majuscules, chiffres et symboles et aucun mot du dictionnaire) s'il s'agit d'un système de suivi du temps basé sur l'intranet. Si vous accédez à quelque chose comme une base de données d'enregistrements fiscaux, vous aurez besoin d'au moins une authentification à deux niveaux: mot de passe de chaîne et génération d'une clé unique.
Vous devriez le frapper fort. Expliquez-lui quelle sorte de mauvaise publicité peut se produire à cause de cela, cela dépend aussi des données, de la loi sur la protection des données et d'autres éléments similaires pouvant réellement entraîner une grave responsabilité. Fondamentalement, cela peut être considéré comme un défaut de logiciel et l'entreprise peut donc être tenue responsable des résultats.
En gros, vous devez lui donner une raison qui le mordra et l'effrayera. C’est comme ça que vous vendez la sécurité et l’assurance:)
Si votre patron ne peut pas comprendre une chose aussi simple et ne peut pas faire confiance à des gars comme vous à la fin, vous devriez peut-être commencer à chercher un nouvel endroit où vous pourrez utiliser votre propre potentiel au lieu de vous occuper de ces choses-là. des problèmes.
C'est une sécurité médiocre.
Si cela peut entraîner, par exemple, le vol d’identité de vos utilisateurs, vous avez alors la responsabilité sociale très sérieuse d’améliorer la sécurité. Vous avez essentiellement affaire à la vie des gens. Allez chez votre patron, allez chez son patron. Imprimez ces commentaires et apportez-les. Rendez-vous à votre service juridique et dites-leur quelle exposition cela provoque. Si votre entreprise déversait des déchets toxiques, les lois sur les dénonciateurs s'appliqueraient. Les informations personnelles et le vol d'identité n'est pas moins grave. Faites tout ce qui est écrit pour vous couvrir et pour fournir une trace écrite des preuves à l'appui des poursuites qui suivront. Ne laissez pas votre entreprise nier toute connaissance du risque après coup. Les entreprises qui appliquent sciemment une sécurité épouvantable qui aboutit à un vol d'identité devraient échouer sur le marché et ne mériter que honte, ridicule et échec.
Si, en revanche, cette sécurité médiocre peut avoir des conséquences relativement mineures, vos efforts pour améliorer la sécurité peuvent également être réduits par rapport à ce que je décris ci-dessus.
Envoyez-lui votre préoccupation (de manière non agressive). Donnez le vecteur d'attaque logique, révélez ce qui sera exposé. Fermez en demandant sa confirmation, c’est là son instruction. Puis envoyez-lui (seulement lui, comme suggéré précédemment)
Email archive à la fois votre email original et sa confirmation. Cela vous couvrira si quelque chose se passe.
Argumentez en faveur de l’utilisation de mots de passe plus forts, mais faites également un compromis. Est-ce que les mots de passe par défaut du nom d'utilisateur avec certaines lettres peuvent être remplacés par des chiffres? Tout dépend aussi du système. S'il s'agit d'un système interne, il pourrait être très difficile pour quelqu'un d'accéder au système & amp; faire du mal.
Faites ce que dit votre patron, mais faites en sorte que les mots de passe expirent dans un délai relativement court.
Je mettrais en place un document de synthèse sur les stratégies de mot de passe, les avantages des mots de passe forts, etc. S'ils ne l'aiment toujours pas, faites ce qu'ils vous demandent, car ils sont le client final et vous avez fait votre part pour les sensibiliser aux pièges.
pourquoi utiliser user / pasword dans le premier?
- enregistrer l'activité de l'utilisateur?
- le système d'exploitation vous le demande?
si vous souhaitez connecter une action (quel que soit) à un utilisateur, en tant qu'utilisateur, vous devez protéger mon mot de passe!
si votre patron craint de perdre la "connaissance", si un utilisateur est absent et qu'il a besoin d'accéder à ses données, demandez à tous d'écrire son mot de passe dans une enveloppe scellée.
si votre patron ne vous fait pas confiance, kündige!
Peter
Je considérerais ce qui se cache derrière la demande de l’avoir ainsi.
S'agit-il vraiment d'un utilisateur actif avec nom d'utilisateur + mot de passe que devrait-on configurer en premier lieu? c'est-à-dire que l'utilisateur devrait peut-être recevoir un courrier électronique avec un lien à activer:)
Quand les informations sensibles entrent-elles dans le système? En supposant qu'il s'agisse d'une saisie par l'utilisateur, il suffit de prévoir une étape d'activation dans laquelle l'utilisateur modifie le mot de passe (ou c'est la première fois qu'il dispose d'un mot de passe).
Notez que si vous travaillez avec des informations sensibles, il est probable qu'une loi la régisse. Je voudrais également examiner la question. Si cela est illégal, cela constitue un argument solide. Dans ce cas, vous devriez vraiment envisager de dire simplement non (en expliquant la raison en premier lieu, bien sûr).
At-il dit qu'ils devaient être en minuscules ... At-il dit explicitement qu'ils ne devaient pas inclure de chiffres ...
Vous devriez pirater son compte. Il saura alors pourquoi nom d'utilisateur = mot de passe ne fonctionne pas.
Je me suis déjà heurté à ce problème, où ils ne voulaient pas utiliser de mot de passe sécurisé / verrouiller leurs ordinateurs.
Ensuite, notre site Web a été piraté (non par b / c d'une violation de mot de passe, mais par b / c d'un composant / module défectueux pour le système de gestion de contenu que nous avons utilisé - mais c'est une autre histoire) et à quelques occasions différentes , des personnes se sont connectées à l'ordinateur de l'exécutif pour afficher quelques informations inappropriées.
La raison de cette explication est de dire que ce n’est que jusqu’à présent et quelques autres études de cas que j’ai portées à leur connaissance qu’ils avaient compris à quel point il était important de protéger les mots de passe.
Comme solution, vous pouvez essayer de faire des recherches sur des études de cas où une faille s'est produite sur des systèmes ou des sites où les informations stockées ou protégées n'étaient pas très importantes, mais dont la cause endommagée et l'argent à récupérer ont été considérables. - comme une personne qui installe une arnaque par hameçonnage sur votre site, qui détient en otage un serveur ou un site & amp; avoir à nettoyer toute la boîte pour recommencer, ou un autre type de violation.
Quoi qu'il en soit, prenez-le pour ce qu'il vaut.
Certaines choses me viennent à l’esprit que vous voudrez peut-être partager avec votre patron -
-
La plus grande menace pour la sécurité n'est pas les étrangers, mais les gens avec qui vous travaillez. Si quelqu'un a été congédié pour un motif depuis que vous êtes là-bas, parlez-en à votre patron - "Et si XXXX avait accès aux comptes d'autres personnes?" Beaucoup de gens ne volent pas de données, mais ils peuvent essayer de vandaliser le système ou de gâcher des données par dépit. Ou pourraient-ils même partager ces données avec un concurrent?
-
Proposez un compromis un peu plus fort: nom d'utilisateur et 4 chiffres du numéro de téléphone à domicile. Ce n’est pas beaucoup plus fort, mais cela rend les devinettes un peu plus difficiles.
-
Les gens peuvent créer des mots de passe relativement sécurisés en utilisant des mnémoniques. Cependant, vous devez former les gens à faire cela. Offre de tenir une session avec vos utilisateurs sur la façon de créer des mots de passe sécurisés. Honnêtement, ce n'est pas juste pour l'endroit où ils travaillent, mais pour tous ceux qui font leurs achats ou leurs banques en ligne. Une chose facile pour les informaticiens qui doivent gérer plusieurs mots de passe peut être plus difficile pour les autres.
BTW, j'ai trouvé un bon générateur javascript de mots de passe mnémoniques.
http://digitarald.de/playground/mnemonic-password-generator/
J'ai rencontré des situations dans lesquelles un mot de passe est partagé par plusieurs personnes, car la sécurité est parfois moins importante que d'autres éléments. Spécialement dans les intranets.
Une solution peut être de stocker l'adresse IP de chaque utilisateur. C'est une mesure de sécurité plus proche des caméras de sécurité que des verrous, mais cela pourrait suffire à ce que votre patron a en tête.
Slough est peut-être sur quelque chose - mais c'est peut-être trop dur.
Peut-être adopter une approche combinée.
Faites ce qui vous est demandé - mais lorsque vous le présentez, assurez-vous que tout se passe bien, ou que vous disposiez d'un mécanisme qui montrera comment ou pourquoi ce n'est pas une approche sûre. (Cela passera par un processus d’examen avant d’être appliqué correctement?)
Recherchez également toute documentation décrivant les "meilleures pratiques de codage". de pairs respectés du secteur, soit dans des livres, soit en ligne, ou même avec des collègues de bureau susceptibles de sauvegarder votre point de vue. Présentez vos sources. Si vous les avez ignorées, vous avez rempli votre devoir et fait preuve de la diligence requise, et le résultat final dépendra de vos supérieurs.
