Что мне делать, если мой начальник просит меня сделать пароли такими же, как имена пользователей по умолчанию в нашем программном обеспечении?

Question

Мой босс против того, чтобы требовать от наших пользователей наличия надежных паролей, и даже зашел так далеко, что потребовал, чтобы по умолчанию у них были настроены пароли, совпадающие с их именем пользователя.Что мне делать в этой ситуации?Что бы вы сделали?

Обновлять - Некоторые пользователи задаются вопросом, нужен ли приложению высокий уровень безопасности.Например, это не информация о кредитной карте, но включает в себя конфиденциальную информацию, а также функции управления списком рассылки и отправки.

Answer 1

Сделайте все возможное, чтобы использовать надежные пароли, а затем, к сожалению, если они не разделят вашу точку зрения, либо сделайте то, что они просили, либо найдите лучшую работу.

Answer 2

Что вам сказали.

...Затем уважительно сообщите начальству в письменной форме, какие проблемы это вызовет.

Не копируйте никого.Это мое мнение, конечно.Если вы CC, это будет выглядеть очевидным.На самом деле вы просто хотите безопасности, но вам нужно прикрыть себя.Однако вам не обязательно быть в тупике по этому поводу.

Сохраните его в ящике для отправленных, распечатайте или что угодно, если вы действительно обеспокоены.

редактировать - Вы делаете то, что вам говорят, если только это не вопрос моральной распущенности.Затем вы просто документируете, что вы сделали и почему вы это сделали.Просто помните, что если вы этого не задокументируете – этого не было.Документирование — это то, чем вы должны заниматься всегда.

Answer 3

В качестве компромисса есть гораздо лучшие значения по умолчанию, например, использование серийного номера пользователя, года рождения, инициалов и некоторой комбинации, в зависимости от того, что у вас есть под рукой.Не самый безопасный, но и не наименее.

Answer 4

Ваше приложение требовать высокая безопасность?Если данные, контролируемые вашим программным обеспечением, не являются конфиденциальными и риск для пользователя невелик, возможно, вам действительно не нужны надежные пароли.

Если ваше приложение действительно представляет значительный риск для пользователя, если пароли могут быть слабыми, вам следует как можно лучше обосновать это в письменной форме.Если вы можете количественно оценить риск и ответственность, сделайте это, но в конечном итоге вам придется оставить решение на усмотрение своего начальства.

Answer 5

Нет ничего плохого в по умолчанию пароль такой же, как имя пользователя, при условии, что система запрашивает, чтобы пользователь создал новый пароль при первом входе в систему.Затем вы разрешаете что-либо в качестве пароля, если требования к безопасности низкие.Если вы работаете с конфиденциальными данными, надежность пароля должна быть соответствующего уровня.Вы не сказали, какие данные скрываете.Нет смысла иметь сверхнадежные пароли (12 символов, строчные и прописные буквы, цифры и символы и никаких слов из словаря), если это система учета рабочего времени на базе интрасети.Если вы получаете доступ к чему-то вроде базы данных налоговых записей, вам потребуется как минимум двухуровневая аутентификация — строковый пароль и одноразовая генерация ключа.

Answer 6

Тебе следует ударить его сильно.Объясните ему/ей, какая плохая реклама может произойти из-за этого, это также зависит от данных, закон о защите данных и подобные вещи действительно могут повлечь за собой серьезную ответственность.По сути, подобные действия можно расценить как дефект программного обеспечения, поэтому компания может нести ответственность за результаты.

По сути, вам нужно дать ему причину, которая его укусит, напугает.Вот как вы продаете безопасность и страховку :)

Если ваш начальник не может понять такую ​​простую вещь и в конце концов не может доверять таким парням, как вы, возможно, вам следует начать искать новое место, где вы действительно сможете использовать свой собственный потенциал, вместо того, чтобы решать подобные проблемы.

Answer 7

Это плохая безопасность.

Если это может привести, например, к краже личных данных ваших пользователей, то на вас лежит очень серьезная социальная ответственность за повышение безопасности.По сути, вы имеете дело с жизнями людей.Идите к своему боссу, идите к его или ее боссу.Распечатайте эти комментарии и возьмите с собой.Сходите в свой юридический отдел и скажите им, какую опасность это причинит.Если ваша компания сбрасывала токсичные отходы, к ней будут применяться законы о разоблачении.Кража личной информации и личных данных не менее серьезна.Сделайте все в письменной форме, чтобы прикрыть себя и предоставить документальные доказательства для судебных процессов, которые обязательно последуют.Не позволяйте вашей компании отрицать наличие информации о риске постфактум.Компании, которые сознательно внедряют ужасные меры безопасности, приводящие к краже личных данных, должны потерпеть неудачу на рынке и не заслуживают ничего, кроме стыда, насмешек и неудач.

Если, с другой стороны, эта плохая безопасность может привести к сравнительно незначительным вещам, тогда ваши усилия по улучшению безопасности также могут быть сокращены по сравнению с тем, что я описал выше.

Answer 8

Напишите ему о своем беспокойстве (в неагрессивной форме).Дайте логический вектор атаки, раскройте, что будет раскрыто.В завершение попросите его подтвердить, что это его инструкция.Затем отправьте ему (только ему, как предлагалось ранее)

Электронная почта архивирует как исходное письмо, так и его подтверждение.Это прикроет вас, если что-то случится.

Answer 9

Приведите доводы в пользу более надежных паролей, но при этом идите на компромисс.Возможно, пароли по умолчанию соответствуют имени пользователя с заменой определенных букв цифрами?Это все также зависит от системы.Если это внутренняя система, кому-то может быть довольно сложно получить доступ к системе и причинить какой-либо вред.

Answer 10

Делайте то, что говорит ваш начальник, но обеспечьте срок действия паролей в течение относительно короткого периода времени.

Answer 11

Я бы составил сводный документ о политике паролей, преимуществах надежных паролей и т. д., представил его ему на рассмотрение и попытался сделать его частью политики компании.Если им все еще это не нравится, сделайте то, что они просят, поскольку они являются конечными клиентами, и вы внесли свой вклад, чтобы объяснить им подводные камни.

Answer 12

почему сначала используется пользователь/пароль?

• регистрировать активность пользователей?
• операционная система этого требует?

если вы хотите связать действие (что угодно) с пользователем, я, как пользователь, потребую, чтобы мой пароль был безопасным!

если ваш начальник боится, что он может потерять «знания», если пользователь отсутствует, и ему нужно получить доступ к данным этого пользователя, потребуйте от всех записать свой пароль в запечатанном конверте.

если твой начальник тебе не доверяет, kündige!

Питер

Answer 13

Я бы сначала рассмотрел, что стоит за этой просьбой.

Действительно ли это активный пользователь с именем пользователя + паролем, который следует настроить в первую очередь?то естьвозможно, пользователь должен получить электронное письмо со ссылкой для активации :)

Когда конфиденциальная информация попадает в систему?Предполагая, что он вводится пользователем, просто выполните этап активации, на котором пользователь меняет пароль (или, если уж на то пошло, это первый раз, когда он получает пароль).

Обратите внимание: если вы работаете с конфиденциальной информацией, скорее всего, существует соответствующий закон.Я бы также рассмотрел это: если это незаконно, это будет веским доводом, и в этом случае вам действительно следует подумать о том, чтобы сказать прямое «нет» (сначала, конечно, объяснив причину).

Answer 14

Он сказал, что все слова должны быть строчными?Он прямо сказал, что им не следует включать цифры...

Answer 15

Вам следует взломать его аккаунт.Тогда он узнает, почему имя пользователя = пароль не работает.

Answer 16

Я сталкивался с этим раньше, когда они не хотели использовать безопасный пароль и/или блокировать свои компьютеры.

Затем случилось так, что наш веб-сайт был взломан (не из-за взлома пароля, а из-за дефектного компонента/модуля для CMS, который мы использовали - но это другая история), и в нескольких разных случаях люди зашел в компьютер руководителя, чтобы просмотреть несколько неприемлемых вещей.

Причина этого объяснения состоит в том, что только после этого и нескольких других тематических исследований, на которые я обратил их внимание, они поняли, насколько важно это для надежных паролей.

В качестве решения вы можете попытаться провести небольшое исследование конкретных случаев, когда нарушение произошло в системах или сайтах, где хранимая или защищенная информация не была очень важной, но причина повреждения и деньги, необходимые для восстановления, были существенными - например, кто-то устраивает фишинговую аферу на вашем сайте, держит в заложниках сервер или сайт и вынужден стирать весь ящик, чтобы начать заново, или какой-либо другой тип взлома.

В любом случае, примите его за то, чего он стоит.

Answer 17

На ум приходит несколько вещей, которыми вы, возможно, захотите поделиться со своим начальником:

1. Самая большая угроза безопасности исходит не от посторонних, а от людей, с которыми вы работаете.Если с тех пор, как вы были там, кто -то был уволен с причиной, воспитывайте это со своим боссом - «Что если у XXXX был доступ к счетам других людей?» Этот человек, многие из которых не крадут данные, но могут попытаться вандализировать систему или возиться с данными.Или они могут даже поделиться этими данными с конкурентом?

2. В качестве компромисса предложите более строгий вариант по умолчанию — имя пользователя и 4 цифры номера домашнего телефона.Это не намного сильнее, но делает угадывание немного сложнее.

3. Люди могут создавать довольно надежные пароли, используя мнемонику.Однако вам необходимо обучать людей тому, как это делать.Предложите провести с вашими пользователями беседу о том, как создавать надежные пароли.Честно говоря, это хорошо не только там, где они работают, но и для всех, кто делает покупки или осуществляет банковские операции в Интернете.То, что легко для ИТ-специалистов, которым приходится манипулировать несколькими паролями, может быть сложнее для других.

Кстати, я нашел хороший генератор мнемонических паролей на JavaScript.

http://digitarald.de/playground/mnemonic-password-generator/

Answer 18

Я встречал ситуации, когда пароль использовался несколькими людьми, потому что иногда безопасность менее важна, чем другие вещи.Специально в интранетах.

Решением может быть сохранение IP-адреса каждого пользователя.Это мера безопасности, более близкая к камерам наблюдения, чем к замкам, но ее может быть достаточно для того, что задумал ваш босс.

Answer 19

Слау может быть и прав, но это может быть слишком резко.

Возможно, стоит использовать комбинированный подход.

Делайте то, что просят, но, представляя это, убедитесь, что оно сломано, или у вас есть какой-то механизм, который покажет, как и почему это небезопасный подход.(Перед внедрением это пройдет процедуру проверки, верно?)

Также найдите любую документацию, описывающую «лучшие практики кодирования» от уважаемых коллег в отрасли, в книгах, в Интернете или даже у коллег из офиса, которые могут поддержать вашу точку зрения.Предоставьте свои источники, и если их проигнорируют, вы выполнили свой долг и проявили должную осмотрительность, и окончательный результат ляжет на плечи начальства.