상사가 소프트웨어의 기본적으로 비밀번호를 사용자 이름과 동일하게 만들도록 지시하면 어떻게해야합니까?

Question

내 상사는 사용자가 보안 비밀번호를 갖도록 요구하는 것에 대해 반대하고, 심지어 지금까지 사용자 이름과 동일한 비밀번호를 갖도록 기본적으로 설정하도록 요청합니다. 이 상황에서 무엇을해야합니까? 당신은 무엇을 하시겠습니까?

업데이트 - 일부 사용자는 응용 프로그램에 높은 보안이 필요한지에 대한 질문을 제기했습니다. 예를 들어 신용 카드 정보는 아니지만 민감한 정보와 메일 링리스트 관리 및 전송 기능이 포함됩니다.

Answer 1

강력한 비밀번호에 대해 최선을 다한 다음 불행히도, 그들이 당신의 관점을 보지 못하면 그들이 요청한 일을하거나 더 나은 일을 찾으십시오.

Answer 2

당신이 말하는 것.

... 그런 다음 상사에게 어떤 문제가 발생할 것인지 서면으로 우월하게 알리십시오.

아무도 CC하지 마십시오. 물론 이것은 내 의견입니다. CC가 있다면 분명해 보일 것입니다. 당신은 정말로 보안을 원하지만 자신을 덮어야합니다. 그래도 당신은 그것에 대해 말의 뒤에있을 필요는 없습니다.

보낸 상자에 보관하고 진정으로 걱정이된다면 무엇이든 인쇄하십시오.

편집 - 당신은 그것이 도덕적 고난에 대한 일종의 문제가 아니라면 말하는 것을합니다. 그런 다음 당신은 단순히 당신이 한 일과 왜 그렇게했는지 문서화합니다. 문서화하지 않으면 그 일이 일어나지 않았다는 것을 기억하십시오. 문서화는 항상해야 할 일입니다.

Answer 3

타협으로서 사용자의 일련 번호, 생년월일, 이니셜, 일부 조합을 사용하는 것과 같은 더 나은 불이행이 있습니다. 가장 안전하지는 않지만 최소한도 아닙니다.

Answer 4

귀하의 신청서를 수행합니다 필요하다 높은 보안? 소프트웨어로 제어되는 데이터가 민감하지 않고 사용자에 대한 위험이 낮 으면 강력한 암호가 필요하지 않을 수 있습니다.

암호가 약한 경우 앱이 사용자에게 상당한 위험을 초래하는 경우 서면으로 최선을 다해 해당 케이스를 만들어야합니다. 위험과 책임을 정량화 할 수 있다면 그렇게하십시오. 그러나 궁극적으로 결정을 상사에게 맡겨야합니다.

Answer 5

a에는 아무런 문제가 없습니다 기본 비밀번호는 사용자가 처음 로그인 할 때 사용자가 새 비밀번호를 작성하도록 요청한 사용자 이름과 동일합니다. 보안 요구 사항이 낮은 경우 암호로 모든 것을 허용합니다. 민감한 데이터를 처리하는 경우 비밀번호 강도는 적절한 수준이어야합니다. 숨어있는 데이터를 말하지 않았습니다. 인트라넷 기반 시간 추적 시스템 인 경우 매우 강력한 암호 (12 Chars, 소문자, 대문자, 숫자 및 기호 및 사전의 단어가 없음)가 없습니다. 세금 기록 데이터베이스와 같은 것에 액세스하는 경우 적어도 두 가지 레벨 인증 - 문자열 비밀번호와 한 번 키 생성이 필요합니다.

Answer 6

당신은 그를 세게 때려야합니다. 이로 인해 어떤 종류의 나쁜 홍보가 일어날 지 설명하고 데이터에 따라 다릅니다. 데이터 보호법 그리고 비슷한 것들이 실제로 심각한 책임을 질 수 있습니다. 기본적으로 그렇게하는 것은 소프트웨어 결함으로 간주 될 수 있으므로 회사는 결과를 책임질 수 있습니다.

기본적으로 당신은 그에게 그를 물고 그를 놀라게 할 이유를 주어야합니다. 그것이 당신이 보안과 보험을 판매하는 방법입니다 :)

상사가 그런 간단한 것을 알 수없고 결국 당신과 같은 사람을 믿을 수 없다면, 아마도 이러한 종류의 문제를 다루는 대신 실제로 자신의 잠재력을 사용할 수있는 새로운 장소를 찾아야 할 것입니다.

Answer 7

이것은 보안이 좋지 않습니다.

예를 들어, 사용자의 도난을 식별 할 수 있다면 보안을 향상시키는 데있어 매우 심각한 사회적 책임이 있습니다. 당신은 본질적으로 사람들의 삶을 다루고 있습니다. 상사에게 가서 상사에게 가십시오. 이 의견을 인쇄하여 가져 오십시오. 법률 부서로 가서 이것이 얼마나 많은 노출을 유발하는지 알려주십시오. 회사가 독성 폐기물 휘파람 송풍기 법률을 버리고있는 경우 법률이 적용됩니다. 개인 정보와 도난 식별은 덜 심각하지 않습니다. 자신을 커버하고 반드시 따를 소송에 대한 증거의 종이 흔적을 제공하기 위해 서면으로 모든 것을하십시오. 회사가 사실 이후 위험에 대한 지식을 거부하도록 허용하지 마십시오. 도난을 식별하는 끔찍한 보안을 고의적으로 구현하는 회사는 시장에서 실패하고 수치심, 조롱 및 실패만으로는 가치가 없습니다.

반면 에이 불량한 보안이 비교적 사소한 일을 초래할 수 있다면 보안을 개선하려는 노력도 위에서 설명한 내용에서 축소 될 수 있습니다.

Answer 8

그에게 당신의 우려를 이메일로 보내십시오 (공격적이지 않은 방식으로). 논리 공격 벡터를 제공하고 노출 될 내용을 밝힙니다. 그의 확인을 요청함으로써 이것은 그의 지시입니다. 그런 다음 그에게 보내십시오 (이전에 제안한대로 그에게만)

이메일 보관소와 원래 이메일과 확인을 모두 보관하십시오. 어떤 일이 발생하면 이것은 당신을 덮을 것입니다.

Answer 9

더 강한 암호를 가지고 있다고 주장하지만 타협을 할 수 있습니다. 특정 문자가 숫자로 대체 된 특정 문자로 사용자 이름을 기본값으로 비밀번호로 표시합니까? 이것은 모두 시스템에 달려 있습니다. 이것이 내부 시스템이라면 누군가가 시스템에 접근하고 해를 끼치 지 않기가 매우 어려울 수 있습니다.

Answer 10

상사의 말을 수행하지만 비교적 짧은 기간 내에 비밀번호가 만료됩니다.

Answer 11

비밀번호 정책, 강력한 비밀번호의 이점 등에 대한 요약 문서를 작성하여 검토를 위해 그에게 제출하고 회사 정책의 일부를 만들려고합니다. 그들이 여전히 마음에 들지 않는다면, 그들은 최종 고객이며 당신은 그들에게 함정에 대해 교육하기 위해 당신의 역할을 수행했기 때문에 그들이 요구하는 것을 수행합니다.

Answer 12

첫 번째에서 사용자/pasword를 사용하는 이유는 무엇입니까?

• 사용자 활동을 기록하려면?
• 운영 체제가 그것을 요구합니까?

작업 (uthing)을 사용자와 연결하려면 사용자로서 내 비밀번호가 안전해야합니다!

상사가 두려워하는 경우, "지식"을 느슨하게 할 수 있고, 사용자가 떨어져 있고 해당 Uesers 데이터에 액세스 해야하는 경우 모든 사람이 밀봉 된 봉투에 비밀번호를 적어야합니다.

당신의 상사가 당신을 믿지 않는다면, Kündige!

베드로

Answer 13

나는 그것을 먼저 그렇게하도록 요청의 뒤에 무엇이 있는지 고려할 것입니다.

실제로 사용자 이름+비밀번호를 가진 활성 사용자입니까? 처음에 설정해야 할 것은 무엇입니까? 즉, 사용자는 활성화 링크와 함께 이메일을 받고 있어야 할 것입니다. :)

민감한 정보는 언제 시스템에 나옵니까? 사용자가 입력했다고 가정하면 사용자가 암호를 변경하는 활성화 단계 만 가지고 있습니다 (또는 처음으로 해당 문제에 대한 비밀번호가 있습니다).

민감한 정보로 작업하는 경우 이와 관련된 법이있을 수 있습니다. 나는 또한 그것이 불법이라면 강력한 사례를 만들어 내고,이 경우에 평범한 아니오를 실제로 고려해야합니다 (물론 그 이유를 설명하는).

Answer 14

그는 모두 소문자 여야한다고 말 했습니까? 그는 명백히 숫자를 포함하지 말아야한다고 말 했습니까?

Answer 15

그의 계정을 해킹해야합니다. 그러면 그는 왜 사용자 이름 = 암호가 작동하지 않는지 알게 될 것입니다.

Answer 16

나는 그들이 보안 비밀번호를 사용하거나 컴퓨터를 잠그고 싶지 않은 전에 이것에 빠져 들었습니다.

그런 다음 우리 웹 사이트가 해킹당했습니다 (비밀번호 위반의 B/C가 아니라 우리가 사용한 CMS에 대한 결함이있는 구성 요소/모듈의 B/C는 다른 이야기입니다). 부적절한 것들을보기 위해 Exec의 컴퓨터에 로그인했습니다.

이 설명의 이유는 이것이 바로이 문제가 아니라고 말하면서, 그들이 보안 비밀번호에 얼마나 중요한지 이해했다는 사실에주의를 기울인 몇 가지 다른 사례 연구입니다.

솔루션으로서, 당신은 저장된 정보가 매우 중요하지 않은 시스템이나 사이트에서 위반이 발생한 사례 연구에 대한 연구를 시도 할 수 있지만, 회복하는 데 걸리는 손상된 원인과 돈은 상당했습니다. 누군가가 귀하의 사이트에 피싱 사기를 설정하거나, 서버 또는 사이트를 홀딩 인질로 설정하고, 전체 상자를 깨끗이 닦아서 시작하거나 다른 유형의 위반을해야합니다.

어쨌든, 가치가있는 것을 가져 가십시오.

Answer 17

상사와 공유하고 싶을 수도 있다는 몇 가지 사항이 있습니다.

1. 가장 큰 보안 위협은 외부인이 아니라 함께 일하는 사람들입니다. 당신이 그곳에 온 이후로 원인으로 해고 된 사람이 있다면, 상사와 함께 가져 오십시오. "XXXX가 다른 사람들의 계정에 액세스 할 수 있다면 어떨까요?" 그 사람은 데이터를 훔치지 않았지만 시스템을 파괴하거나 그 정도로 데이터를 엉망으로 만들려고 시도 할 수 있습니다. 아니면 해당 데이터를 경쟁 업체와 공유 할 수도 있습니까?

2. 사용자 이름과 4 자리 숫자의 타협으로 다소 더 강한 기본값을 제안하십시오. 그리 더 강하지는 않지만 조금 더 어려워집니다.

3. 사람들은 mnemonics를 사용하여 상당히 안전한 암호를 만들 수 있습니다. 그러나 그렇게하는 방법에 대해 사람들을 훈련시켜야합니다. 보안 비밀번호를 만드는 방법에 대해 사용자와 세션을 개최하도록 제안합니다. 솔직히, 그것은 그들이 일하는 곳뿐만 아니라 온라인으로 쇼핑이나 은행을하는 사람에게는 좋다. 여러 가지 암호를 저글링 해야하는 사람들에게 쉬운 것이 다른 사람들에게는 더 어려울 수 있습니다.

BTW, 나는 니모닉 비밀번호의 멋진 JavaScript 생성기를 발견했습니다.

http://digitarald.de/playground/mnemonic-password-generator/

Answer 18

여러 사람이 암호를 공유하는 상황을 발견했습니다. 때로는 보안이 다른 것보다 덜 중요하기 때문입니다. 특히 인트라넷에서.

솔루션은 각 사용자의 IP 주소를 저장하는 것입니다. 그것은 잠금보다 보안 카메라에 가까운 보안 조치이지만 상사가 생각하는 것만으로는 충분할 수 있습니다.

Answer 19

Slough는 무언가에있을 수 있지만 너무 가혹 할 수 있습니다.

어쩌면 조합 접근 방식을 취할 수도 있습니다.

요청한 것을하십시오 - 그러나 그것을 제시 할 때, 그것이 깨지거나, 그것이 안전한 접근법이 아닌지 보여주는 메커니즘이 있는지 확인하십시오. (이것은 제대로 구현되기 전에 검토 과정을 거치게 될까요?)

또한 서적이나 온라인 또는 사무실 동료의 존경받는 업계 동료의 "최고의 코딩 관행"을 설명하는 문서를 찾으십시오. 당신의 출처를 제시하고, 그들이 무시하면, 당신은 당신의 의무와 실사를했으며, 최종 결과는 상사 어깨에 달려 있습니다.