O que devo fazer quando meu chefe me diz para fazer senhas o mesmo que nomes de usuários por padrão no nosso software?

Question

Meu chefe é contra exigindo que nossos usuários tenham senhas seguras, mesmo indo tão longe para solicitar que ser configurado por padrão para ter senhas o mesmo que seu nome de usuário. O que devo fazer nesta situação? O que você faria?

Atualizar - Alguns usuários não levantou a questão de saber se a aplicação necessita de alta segurança. Isso não é informação de cartão de crédito, por exemplo, mas inclui informação sensível e uma mailing list gestão e funcionalidade de envio.

Answer 1

Faça o melhor caso você pode, por senhas fortes e, em seguida, infelizmente, se eles não ver seu ponto de vista, quer fazer o que eles pediram ou encontrar um emprego melhor.

Answer 2

O que você disse.

... Então respecfully deixar o know superiores por escrito quais os problemas que irá causar.

Do not CC ninguém. Esta é a minha opinião, é claro. Se você CC será algo óbvio. Você realmente quer apenas segurança, mas você tem que cobrir-se. Você não tem de estar por trás de um cavalo sobre ele embora.

Mantenha-o em sua caixa de enviados, imprimi-lo, qualquer que seja, se você está realmente em causa.

Editar - Você faz o que você disse a menos que seja algum tipo de questão de torpeza moral. Então você simplesmente documentar o que você fez e por que você fez isso. Basta lembrar que se você não documentá-lo - isso não aconteceu. Documentação é algo que você deve sempre estar fazendo.

Answer 3

Como um compromisso há melhor padrões, como o uso de número de série do usuário, ano de nascimento, iniciais, alguma combinação, dependendo do que você tem na mão. Não é o mais seguro, mas não menos importante também.

Answer 4

A sua aplicação requer de alta segurança? Se os dados controlados pelo seu software não é sensível eo risco para o usuário é baixo, talvez você realmente não precisa de senhas fortes.

Se o seu aplicativo não representam um risco significativo para o usuário se as senhas estão autorizados a ser fraco, você deve fazer nesse caso o melhor que puder, por escrito. Se você pode quantificar o risco e responsabilidade, fazê-lo, mas no final você vai ter que deixar a decisão aos seus superiores.

Answer 5

Não há nada de errado com um padrão senha o mesmo que o nome de usuário, desde que os pedidos de sistema que o usuário cria uma nova senha na primeira vez que o usuário fizer login. Você, então, permitir que nada como uma senha se há baixa exigência de segurança. Se você está lidando com dados sensíveis, em seguida, a força da senha deve ser de um nível adequado. Você não disse que os dados que você está escondendo. Não há nenhum ponto em ter senhas fortes super (12 caracteres, letras minúsculas, maiúsculas, dígitos e símbolos e não palavras de dicionário) Se é um sistema de rastreamento em tempo intranet baseado. Se você estiver acessando algo como um banco de dados registro fiscal, em seguida, você precisa de pelo menos dois autenticação de nível -. String password e geração de chaves uma vez

Answer 6

Você deve bater-lhe com força. Explique a ele / ela que tipo de má publicidade pode acontecer por causa disso, também depende dos dados, Data Protection Act e outras coisas semelhantes pode realmente causar sério passivo. Basicamente fazê-lo tal pode ser considerado como um defeito de software, portanto empresa pode ser responsável pelos resultados.

Basicamente, você precisa dar-lhe uma razão que irá mordê-lo, assustá-lo. É assim que se vendem segurança e de seguros:)

Se você patrão não pode descobrir uma coisa simples e não pode caras de confiança como você, no final, talvez você deve começar a procurar um novo lugar que você pode realmente usar o seu próprio potencial, em vez de lidar com este tipo de questões.

Answer 7

Esta é a segurança pobres.

Se isso pode resultar, por exemplo, roubo de identidade para seus usuários, então você tem uma responsabilidade social muito sério para melhorar a segurança. Você é essencialmente lidar com a vida das pessoas. Vá para o seu patrão, ir para o seu chefe. Imprimir esses comentários e trazê-los. Vá para o seu departamento jurídico e dizer-lhes o quanto a exposição este causas. Se a sua empresa praticava dumping leis de denúncia de resíduos tóxicos seria aplicável. Informações pessoais e roubo de identidade não é menos grave. Fazer tudo por escrito para cobrir a si mesmo e para fornecer uma trilha de papel de evidência para as ações judiciais que certamente irá seguir. Não permita que sua empresa para negar qualquer conhecimento do risco após o fato. As empresas que conscientemente implementar a segurança horrível que resulta em roubo de identidade deve falhar no mercado e merecem nada, mas vergonha, ridículo e fracasso.

Se, por outro lado, esta falta de segurança pode resultar em comparativamente menores coisas, então o seu esforço para melhorar a segurança também pode ser escalado para trás do que eu descrevi acima.

Answer 8

Enviar por e-lhe a sua preocupação (de uma forma não agressiva). Dê o vetor de ataque lógico, revelar o que será exposto. Fechar por pedir a sua confirmação taht esta é sua instrução. Em seguida, enviar a ele (só ele, como sugerido anteriormente)

arquivo de e-mail tanto o seu e-mail original e sua confirmação. Isto irá cobri-lo se algo acontece.

Answer 9

discutir o caso por ter senhas fortes, mas também fazer um compromisso. Têm as senhas como inadimplente com o nome de usuário com determinadas letras substituídas com números talvez? Isso tudo depende do sistema também. Se este é um sistema interno, pode ser bastante difícil para alguém para ter acesso ao sistema e fazer qualquer dano.

Answer 10

Faça o que seu chefe diz, mas fazer as senhas expiram dentro de um período de tempo relativamente curto.

Answer 11

Gostaria de montar um documento de síntese sobre as políticas de senha, benefícios de senhas fortes, etc e submetê-lo a ele para revisão e tentar torná-lo parte da política da empresa. Se eles ainda não gosto, em seguida, fazer o que eles pedem, pois eles são o cliente final e você tem feito sua parte para educá-los das armadilhas.

Answer 12

por que usar user / pasword no primeiro?

• para registrar a atividade do usuário?
• o sistema operacional pede para ele?

Se você quiser conectar uma ação (qualquer que seja) com um usuário, eu como um usuário exigiria que a minha senha ser seguro!

Se o seu chefe tem medo, que ele pode perder o "conhecimento", se um usuário está longe, e ele precisa de ter acesso a esses dados uesers, requerem que todos anote sua senha em um envelope selado.

Se o seu chefe não confia em você, kündige!

Peter

Answer 13

Gostaria de considerar o que está por trás do pedido para tê-lo dessa forma pela primeira vez.

É realmente um usuário ativo com nome de usuário + senha que deve ser a ser criada, em primeiro lugar? ou seja, talvez, o usuário deve receber um email com um link para ativar:)

Quando é que a informação sensível entra no sistema? Assumindo que é introduzido pelo utilizador, apenas tem um passo de ativação onde o usuário alterar a senha (ou é a primeira vez (s) que ele tem uma senha para que o assunto).

Observe que se você estiver trabalhando com informações confidenciais, é provável que haja uma lei relacionada a ele. Também gostaria de olhar para isso, se é ilegal faz para um caso forte, e nesse caso você realmente deve considerar dizer não simples (explicando a razão primeira é claro).

Answer 14

Será que ele dizem que tinha que ser em letras minúsculas ... Ele explicitamente dizer que tinham de não incluir números ...

Answer 15

Você deve invadir sua conta. Então, ele vai saber por nome de usuário = trabalho senha não faça.

Answer 16

Eu tenho que correr para isso antes, onde não queria usar uma senha segura e / ou de bloqueio para baixo seus computadores.

Então aconteceu nosso site tinha sido invadido (não b / c de uma violação de senha, mas b / c de falho componente / módulo para o CMS que usamos - mas isso é uma história diferente) e, em algumas ocasiões diferentes , as pessoas têm conectado ao computador do exec para ver algumas coisas impróprias.

A razão para esta explicação é dizer que não foi até este e alguns outros estudos de caso que eu trouxe a sua atenção que eles entenderam o quão importante é para senhas seguras.

Como solução, você pode tentar fazer alguma pesquisa em estudos de caso onde uma violação ocorreu em sistemas ou sites onde as informações armazenadas ou protegidas não foi terrivelmente importante, mas a causa danificado e dinheiro que levou para se recuperar foi substancial -., como alguém a criação de um esquema de phishing em seu site, o refém participação de um servidor ou site e ter que limpar a caixa inteira de começar de novo, ou algum outro tipo de violação

De qualquer forma, levá-la para o que vale a pena.

Answer 17

Algumas coisas vêm à mente que você pode querer compartilhar com seu chefe -

1. A maior ameaça à segurança não é de fora, é as pessoas com quem trabalha. Se houve alguém demitido por justa causa, uma vez que você esteve lá, traga-se que com o seu chefe - "E se XXXX tinham acesso a contas de outras pessoas?" Essa pessoa muitos não roubar dados, mas eles podem tentar vandalizar o sistema ou mexer com os dados por despeito. Ou eles poderiam até mesmo compartilhar esses dados com um concorrente?

2. Propor um padrão um pouco mais forte como um compromisso - username e 4 dígitos do número de telefone de casa. Não é muito mais forte, mas faz adivinhar um pouco mais difícil.

3. As pessoas podem fazer senhas razoavelmente seguras usando mnemônicos. No entanto, você precisa treinar pessoas em como fazer isso. Ofereça-se para realizar uma sessão com os seus usuários sobre como criar senhas seguras. Honestamente, não é apenas bom para onde eles trabalham, mas para quem lojas ou bancos online. Algo que é fácil para as pessoas de TI que têm de lidar com várias senhas pode ser mais difícil para os outros.

BTW, eu encontrei um gerador javascript agradável de senhas mnemônicos.

http://digitarald.de/playground/mnemonic-password-generator/

Answer 18

Eu encontrei situações em que uma senha é compartilhada por várias pessoas, porque a segurança, por vezes, é menos importante do que outras coisas. Especialmente em intranets.

A solução pode ser a de armazenar o endereço IP de cada usuário. É uma medida de segurança mais perto de câmeras de segurança do que fechaduras, mas pode ser o suficiente para que seu chefe tem em mente.

Answer 19

Slough pode estar em qualquer coisa - mas pode ser muito dura.

Talvez ter uma abordagem combinada.

Do what`s pediu - mas quando apresentá-lo, certifique-se que os intervalos, ou você tem algum mecanismo que irá mostrar como ou por que não é uma abordagem segura. (Isso vai passar por um processo de revisão antes de serem implementadas certo?)

Também encontrar qualquer documentação que descreve as "melhores práticas de codificação" de seus pares da indústria respeitados tanto em livros ou on-line ou colegas de escritório até mesmo que pode ser capaz de fazer backup de seu ponto de vista. Apresente suas fontes, e se a sua ignorado, você fez o seu dever e due diligence, e o resultado final vai descansar sobre os ombros superiores.