ソフトウェアでデフォルトでパスワードをユーザー名と同じにするように上司から指示された場合はどうすればよいですか?

StackOverflow https://stackoverflow.com/questions/606830

  •  03-07-2019
  •  | 
  •  

質問

上司は、ユーザーに安全なパスワードを要求することに反対しています。これまでのところ、デフォルトでユーザー名と同じパスワードを設定するように要求することさえします。この状況ではどうすればよいですか?どうしますか?

更新-一部のユーザーは、アプリケーションに高いセキュリティが必要かどうかという質問を提起しました。これは、たとえばクレジットカード情報ではありませんが、機密情報とメーリングリストの管理と送信機能が含まれています。

役に立ちましたか?

解決

強力なパスワードを作成するために最善のケースを作成し、残念ながら、彼らがあなたの視点を見ていない場合は、彼らが求めたものを実行するか、より良い仕事を見つけます。

他のヒント

言われたこと。

... 次に、どの問題が発生するかを書面で上司に再通知します。

誰にもCCしないでください。もちろんこれは私の意見です。 CCする場合、それは明白に見えます。あなたは本当にセキュリティが欲しいだけなのに、自分を隠さなければなりません。ただし、馬に遅れをとる必要はありません。

本当に心配な場合は、送信済みボックスに保管して、何でも印刷してください。

編集-道徳的不信の問題のようなものでない限り、あなたは言われたことをします。それから、あなたは単にあなたがしたこととあなたがそれをした理由を文書化します。あなたがそれを文書化しないなら、それが起こらなかったことを覚えておいてください。文書化は、常に行うべきことです。

妥協案として、ユーザーのシリアル番号、生年、イニシャル、いくつかの組み合わせを手持ちのものに応じて使用するなど、より良いデフォルトがあります。最も安全ではありませんが、少なくとも安全ではありません。

アプリケーションは高いセキュリティを必要にしますか?ソフトウェアによって制御されるデータが機密性が高くなく、ユーザーに対するリスクが低い場合、おそらく強力なパスワードは本当に必要ないでしょう。

パスワードの脆弱性が許可されている場合に、アプリがユーザーに重大なリスクをもたらす場合は、書面でできる限り最善を尽くす必要があります。リスクと負債を定量化できる場合は、そうしますが、最終的には上司に決定を任せる必要があります。

ユーザーが最初にログインするときにユーザーが新しいパスワードを作成するようにシステムが要求した場合、ユーザー名と同じ default パスワードには何も問題はありません。低いセキュリティ要件があります。機密データを処理する場合、パスワードの強度は適切なレベルである必要があります。どのデータを非表示にしているのか、まだ言っていません。イントラネットベースのタイムトラッキングシステムである場合、強力なパスワード(12文字、小文字、大文字、数字、記号、および辞書からの単語なし)を使用しても意味がありません。税務記録データベースのようなものにアクセスしている場合、少なくとも2つのレベルの認証(文字列パスワードとワンタイムキー生成)が必要になります。

彼を激しく叩くべきです。このためにどのような悪い宣伝が発生する可能性があるかを説明し、データにも依存します。データ保護行為などが実際に重大な責任を引き起こす可能性があります。基本的にこれを行うことはソフトウェアの欠陥とみなすことができるため、結果に対して会社が責任を負うことができます。

基本的に、あなたは彼に噛み付く理由を与える必要があります。それがセキュリティと保険の販売方法です:)

上司がこのような単純なことを理解できず、最後にあなたのような人を信頼できない場合は、これらの種類に対処するのではなく、実際に自分の可能性を活用できる新しい場所を探し始める必要がありますの問題。

これはセキュリティが不十分です。

たとえば、ユーザーの盗難を特定できる場合は、セキュリティを改善するという非常に深刻な社会的責任があります。あなたは本質的に人々の生活を扱っています。あなたの上司に、彼または彼女の上司に行きます。これらのコメントを印刷して、一緒に持ってきてください。あなたの法務部に行き、これがどれだけの露出を引き起こすかを伝えてください。あなたの会社が有毒廃棄物を投棄している場合、内部告発者の法律が適用されます。個人情報と個人情報の盗難も同様に深刻です。あなた自身をカバーし、確実に続く訴訟の証拠の紙の証跡を提供するために、書面ですべてをしてください。あなたの会社が事後のリスクについての知識を否定することを許可しないでください。窃盗の識別につながる恐ろしいセキュリティを故意に実装している企業は、市場で失敗し、恥、笑、失敗以外の何ものにも値しません。

一方で、この貧弱なセキュリティが比較的軽微な結果をもたらす可能性がある場合、セキュリティを改善するためのあなたの努力も上記の説明から縮小することができます。

懸念をあなたにメールで送ってください(積極的ではありません)。論理的な攻撃ベクトルを与え、何が公開されるかを明らかにします。これが彼の指示である彼の確認を求めることによって閉じます。次に、彼に送信します(以前に提案したように、彼だけ)

メールは、元のメールと確認の両方をアーカイブします。これは何かが起こった場合にあなたをカバーします。

より強力なパスワードを持っていると主張しますが、妥協もします。おそらく特定の文字が数字に置き換えられたユーザー名のデフォルトとしてのパスワードはありますか?これはすべてシステムにも依存します。これが内部システムである場合、誰かがシステムにアクセスするのは非常に困難です&危害を加えます。

上司の言うことを実行しますが、パスワードは比較的短期間で失効させます。

パスワードポリシー、強力なパスワードの利点などに関する要約文書をまとめ、レビューのために彼に提出し、それを企業ポリシーの一部とすることを試みます。彼らがまだそれを好まないなら、彼らはエンドクライアントであり、あなたが落とし穴について彼らに教育するためにあなたの役割を果たしたので、彼らは尋ねるものをします。

最初にuser / paswordを使用する理由

  • ユーザーアクティビティを記録しますか
  • オペレーティングシステムがそれを要求しますか?

アクション(とにかく)をユーザーに接続したい場合、ユーザーとしての私はパスワードが安全であることを要求します!

上司が恐れている場合、「知識」を失う可能性があり、ユーザーが不在であり、ユーザーがそのユーザーデータにアクセスする必要がある場合は、封印された封筒にパスワードを書き留める必要があります。

上司があなたを信頼していない場合、kü ndige!

ピーター

最初にそのようにするために、リクエストの背後にあるものを検討します。

それは本当にユーザー名とパスワードを持つアクティブなユーザーですか?そもそも何を設定すべきですか?つまり、おそらく、ユーザーはアクティブ化するためのリンクが記載された電子メールを受信するはずです:)

機密情報がシステムに入力されるのはいつですか?それがユーザーによって入力されたと仮定すると、ユーザーがパスワードを変更するアクティベーション手順があります(または、その問題について初めてパスワードを持っています)。

機密情報を扱う場合、それに関連する法律がある可能性が高いことに注意してください。また、それが違法である場合、それは強力なケースになります。その場合、あなたは本当にプレーンノーと言うことを考慮すべきです(もちろん理由を最初に説明します)。

彼はすべて小文字でなければならないと言いました... 彼は、数字を含める必要がないと明示的に言ったのですか...

彼のアカウントにハッキングする必要があります。そうすれば、username = passwordが機能しない理由がわかります。

私は以前、安全なパスワードを使用したくない、またはコンピュータをロックダウンしたくないという状況に遭遇しました。

その後、私たちのウェブサイトがハッキングされたことがありました(パスワード違反ではなく、使用したCMSの欠陥コンポーネント/モジュールのb / c-しかし、それは別の話です)そして、いくつかの異なる機会に、人々はexecのコンピューターにログインして、いくつかの不適切なものを表示しました。

この説明の理由は、これと他のいくつかのケーススタディが、安全なパスワードにとってどれだけ重要であるかを理解したことに気づいたときだったと言うことです。

解決策として、保存または保護された情報がそれほど重要ではないシステムまたはサイトで侵害が発生したケーススタディについて、いくつかの調査を試みることができますが、回復にかかった損害の原因と金銭はかなりのものでした-あなたのサイトでフィッシング詐欺を設定している人、サーバーまたはサイトを人質にしている人など。最初からやり直すためにボックス全体を拭くか、その他の種類の違反があります。

とにかく、それが価値があるもののためにそれを取る。

上司と共有したいと思うかもしれないことをいくつか思い起こします-

  1. 最大のセキュリティの脅威は部外者ではなく、あなたが働く人々です。あなたがそこにいてから誰かが解雇された場合は、上司に知らせてください-「XXXXが他の人のアカウントにアクセスできたら?」その人は多くの場合データを盗みませんが、システムを破壊したり、データを混乱させようとします。または、そのデータを競合他社と共有することもできますか?

  2. 妥協案としてやや強力なデフォルトを提案する-ユーザー名と4桁の自宅電話番号。それほど強くはありませんが、推測が少し難しくなります。

  3. 人々は、ニーモニックを使用して、かなり安全なパスワードを作成できます。ただし、その方法を人々に訓練する必要があります。安全なパスワードを作成する方法について、ユーザーとのセッションを開催することを申し出ます。正直なところ、彼らが働く場所だけでなく、オンラインで買い物をしたり、銀行に通う人にとっても良いことです。複数のパスワードをジャグリングする必要があるIT担当者にとって簡単なことは、他の担当者にとっては難しいかもしれません。

ところで、ニーモニックパスワードの素敵なjavascriptジェネレーターが見つかりました。

http://digitarald.de/playground/mnemonic-password-generator/

パスワードが他の人よりも重要でない場合があるため、パスワードが複数の人々によって共有される状況を見つけました。特にイントラネットで。

ソリューションは、各ユーザーのIPアドレスを保存することです。ロックよりも防犯カメラに近いセキュリティ対策ですが、上司が考えていることには十分かもしれません。

Sloughは何かに影響を与える可能性があります-しかし、それは厳しすぎるかもしれません。

組み合わせアプローチを採用することもできます。

求められたことを実行します-しかし、それを提示するときは、それが壊れていることを確認するか、安全なアプローチではない方法または理由を示すメカニズムがあります。 (これは正しく実装される前にレビュープロセスを経ますか?)

「ベストコーディングプラクティス」を説明するドキュメントも見つけてください。本やオンライン、またはあなたの視点を裏付けることができるオフィスの同僚のいずれかで尊敬される業界の仲間から。情報源を提示してください。情報源を無視した場合、あなたは義務とデューデリジェンスを行いました。最終結果は上司の肩にかかっています。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top