Cosa devo fare quando il mio capo mi dice di rendere le password uguali ai nomi utente per impostazione predefinita nel nostro software?

Question

Il mio capo è contrario a richiedere ai nostri utenti di disporre di password sicure, anche spingendosi così lontano da richiedere che siano configurate per impostazione predefinita per avere password uguali al loro nome utente. Cosa dovrei fare in questa situazione? Cosa faresti?

Aggiorna - Alcuni utenti hanno sollevato la questione se l'applicazione abbia bisogno di elevata sicurezza. Queste non sono le informazioni della carta di credito, ad esempio, ma includono informazioni riservate e una gestione della mailing list e funzionalità di invio.

Answer 1

Crea il miglior caso possibile per password complesse e, sfortunatamente, se non vedono il tuo punto di vista, fai quello che ti hanno chiesto o trova un lavoro migliore.

Answer 2

Cosa ti viene detto.

... Quindi fai sapere rispettosamente per iscritto al superiore quali problemi causeranno.

Non CC nessuno. Questa è la mia opinione, ovviamente. Se sei CC sembrerà ovvio. Vuoi davvero solo sicurezza ma devi coprirti. Non devi essere dietro a un cavallo.

Conservalo nella tua casella di posta, stampalo, qualunque cosa tu sia, se sei veramente preoccupato.

modifica - Fai quello che ti viene detto a meno che non si tratti di una sorta di turpitudine morale. Quindi documenta semplicemente quello che hai fatto e perché l'hai fatto. Ricorda solo che se non lo documenti, non è successo. Documentare è qualcosa che dovresti sempre fare.

Answer 3

Come compromesso ci sono impostazioni predefinite molto migliori, come l'utilizzo del numero di serie dell'utente, anno di nascita, iniziali, alcune combinazioni, a seconda di ciò che hai a portata di mano. Non il più sicuro ma neanche il meno.

Answer 4

La tua applicazione richiede alta sicurezza? Se i dati controllati dal tuo software non sono sensibili e il rischio per l'utente è basso, forse non hai davvero bisogno di password complesse.

Se l'app presenta un rischio significativo per l'utente se le password possono essere deboli, dovresti presentare il caso nel miglior modo possibile, per iscritto. Se riesci a quantificare il rischio e la responsabilità, fallo, ma alla fine dovrai lasciare la decisione ai tuoi superiori.

Answer 5

Non c'è niente di sbagliato in una password predefinita uguale al nome utente a condizione che il sistema richieda che l'utente crei una nuova password la prima volta che l'utente accede. Consenti quindi qualsiasi cosa come password se c'è un basso livello di sicurezza. Se stai gestendo dati sensibili, la sicurezza della password deve essere di livello adeguato. Non hai detto quali dati stai nascondendo. Non ha senso avere password super potenti (12 caratteri, lettere minuscole, lettere maiuscole, cifre e simboli e nessuna parola dal dizionario) se si tratta di un sistema di monitoraggio del tempo basato su intranet. Se stai accedendo a qualcosa di simile a un database di record fiscali, avrai bisogno di un'autenticazione di almeno due livelli: password stringa e generazione di chiavi una volta.

Answer 6

Dovresti colpirlo duramente. Spiegagli che tipo di cattiva pubblicità potrebbe accadere a causa di ciò, dipende anche dai dati, legge sulla protezione dei dati e cose simili possono effettivamente causare gravi responsabilità. Fondamentalmente farlo, può essere considerato un difetto del software, quindi la società può essere responsabile dei risultati.

Fondamentalmente devi dargli una ragione che lo morderà, spaventarlo. È così che vendi sicurezza e assicurazione :)

Se il tuo capo non riesce a capire una cosa così semplice e non può fidarsi di ragazzi come te alla fine, forse dovresti iniziare a cercare un nuovo posto in cui puoi effettivamente usare il tuo potenziale invece di occuparti di questo tipo di problemi.

Answer 7

Questa è scarsa sicurezza.

Se può comportare, ad esempio, l'identificazione di un furto per i tuoi utenti, allora hai una seria responsabilità sociale per migliorare la sicurezza. Stai essenzialmente affrontando la vita delle persone. Vai dal tuo capo, vai dal suo capo. Stampa questi commenti e portali con te. Vai al tuo ufficio legale e dì loro quanta esposizione questo provoca. Se la vostra azienda stava scaricando rifiuti tossici, si applicano le leggi sulle segnalazioni. Le informazioni personali e l'identificazione dei furti non sono meno gravi. Fai tutto per iscritto per coprirti e per fornire una traccia cartacea di prove per le cause che sicuramente seguiranno. Non consentire alla tua azienda di negare qualsiasi conoscenza del rischio dopo il fatto. Le aziende che implementano consapevolmente una sicurezza orribile che si traduce nell'identificazione di un furto dovrebbero fallire sul mercato e non meritano altro che vergogna, ridicolo e fallimento.

Se d'altra parte questa scarsa sicurezza può portare a cose relativamente minori, i tuoi sforzi per migliorare la sicurezza possono anche essere ridimensionati rispetto a quanto descritto sopra.

Answer 8

Inviagli via email la tua preoccupazione (in modo non aggressivo). Dai il vettore di attacco logico, rivela cosa sarà esposto. Chiudi chiedendo la sua conferma che questa è la sua istruzione. Quindi inviagli (solo lui, come precedentemente suggerito)

Archivia e-mail sia la tua e-mail originale che la sua conferma. Questo ti coprirà se succede qualcosa.

Answer 9

Sostieni il caso di avere password più forti ma fai anche un compromesso. Le password come impostazione predefinita per il nome utente con determinate lettere sostituite forse con numeri? Tutto dipende anche dal sistema. Se si tratta di un sistema interno, potrebbe essere abbastanza difficile per qualcuno accedere al sistema & amp; fare del male.

Answer 10

Fai quello che dice il tuo capo, ma fai scadere le password in un periodo di tempo relativamente breve.

Answer 11

Metterei insieme un documento di sintesi sulle politiche relative alle password, i vantaggi di password complesse, ecc. e glielo invierò per la revisione e proverei a renderlo parte della politica aziendale. Se ancora non gli piace, fai quello che ti chiedono, in quanto sono il cliente finale e hai fatto la tua parte per educarli sulle insidie.

Answer 12

perché usare user / pasword nel primo?

• per registrare l'attività dell'utente?
• il sistema operativo lo richiede?

se vuoi connettere un'azione (qualunque cosa) con un utente, io come utente richiederei che la mia password sia al sicuro!

se il tuo capo ha paura, potrebbe perdere la "conoscenza", se un utente è assente e ha bisogno di accedere ai dati dell'utente, impone a tutti di scrivere la sua password in una busta sigillata.

se il tuo capo non si fida di te, kündige!

Peter

Answer 13

Vorrei considerare cosa c'è dietro la richiesta per averlo in quel modo prima.

È davvero un utente attivo con nome utente + password cosa dovrebbe essere impostato in primo luogo? vale a dire, forse l'utente dovrebbe ricevere un'email con un link per l'attivazione :)

Quando arrivano le informazioni sensibili nel sistema? Supponendo che sia inserito dall'utente, basta eseguire una fase di attivazione in cui l'utente cambia la password (o è la prima volta (e) la prima volta che ha una password per quella materia).

Nota che se stai lavorando con informazioni sensibili, è probabile che ci sia una legge ad esse relativa. Vorrei anche esaminarlo, se è illegale costituisce un caso forte, e in quel caso dovresti davvero prendere in considerazione l'idea di dire chiaramente no (spiegando il motivo prima ovviamente).

Answer 14

Ha detto che dovevano essere tutte minuscole ... Ha detto esplicitamente che non dovevano includere numeri ...

Answer 15

Dovresti hackerare il suo account. Quindi saprà perché username = password non funziona.

Answer 16

L'ho già visto prima, dove non volevano usare una password sicura e / o bloccare i loro computer.

Poi è successo che il nostro sito Web era stato violato (non in b / c di una violazione della password, ma in b / c di componente / modulo difettoso per il CMS che abbiamo usato - ma questa è una storia diversa) e in alcune occasioni diverse , le persone hanno effettuato l'accesso al computer del dirigente per visualizzare alcune cose inappropriate.

Il motivo di questa spiegazione è di dire che non è stato fino a questo e ad alcuni altri casi studio che ho portato alla loro attenzione che hanno capito quanto sia importante per le password sicure.

Come soluzione, potresti provare a fare qualche ricerca su casi studio in cui si è verificata una violazione su sistemi o siti in cui le informazioni archiviate o protette non erano tremendamente importanti, ma la causa danneggiata e i soldi necessari per recuperare erano sostanziali - ad esempio qualcuno che sta impostando una truffa di phishing sul tuo sito, tenendo in ostaggio un server o un sito & amp; dover pulire l'intera scatola per ricominciare da capo, o qualche altro tipo di violazione.

Comunque, prendilo per quello che vale.

Answer 17

Vengono in mente alcune cose che potresti voler condividere con il tuo capo -

1. La più grande minaccia alla sicurezza non sono gli estranei, ma le persone con cui lavori. Se c'è stato qualcuno licenziato per causa da quando ci sei stato, portalo con il tuo capo - " E se XXXX avesse accesso ai conti degli altri? & Quot; Quella persona molti non rubano dati, ma possono provare a vandalizzare il sistema o rovinare i dati per dispetto. O potrebbero persino condividere quei dati con un concorrente?

2. Proponi un compromesso un po 'più forte come compromesso: nome utente e 4 cifre del numero di telefono di casa. Non è molto più forte ma rende più difficile indovinare.

3. Le persone possono creare password abbastanza sicure usando mnemonics. Tuttavia, è necessario formare le persone su come farlo. Offri di tenere una sessione con i tuoi utenti su come creare password sicure. Onestamente, non è solo buono per dove lavorano ma per chiunque faccia acquisti o banche online. Qualcosa che è facile per le persone IT che devono destreggiarsi tra più password potrebbe essere più difficile per gli altri.

A proposito, ho trovato un bel generatore javascript di password mnemoniche.

http://digitarald.de/playground/mnemonic-password-generator/

Answer 18

Ho trovato situazioni in cui una password è condivisa da più persone, perché a volte la sicurezza è meno importante di altre cose. Specialmente nelle intranet.

Una soluzione può essere quella di memorizzare l'indirizzo IP di ciascun utente. È una misura di sicurezza più vicina alle telecamere di sicurezza che ai lucchetti, ma potrebbe essere sufficiente per quello che il tuo capo ha in mente.

Answer 19

Slough potrebbe essere su qualcosa, ma potrebbe essere troppo duro.

Forse adotta un approccio combinato.

Fai quello che ti viene chiesto, ma quando lo presenti, assicurati che si rompa, o hai qualche meccanismo che mostrerà come o perché non è un approccio sicuro. (Questo passerà attraverso un processo di revisione prima di essere implementato, giusto?)

Trova anche tutta la documentazione che descrive " migliori pratiche di codifica " da colleghi del settore rispettati nei libri o online o persino colleghi di ufficio che possono essere in grado di sostenere il tuo punto di vista. Presenta le tue fonti e, se ignorate, hai fatto il tuo dovere e la dovuta diligenza, e il risultato finale dipenderà dalle spalle dei superiori.