我正在为我的公司维护一个Intranet网站,他们希望将这个网站暴露给外面世界上那么糟糕的外面。目前,它没有任何身份验证或授权。我管理用户帐户的想法是使用现有技术来验证用户帐户并在此基础上构建授权模型。现有技术将是CardSpace和OpenID,这将使我们免于维护用户名和密码列表,从而使网站对黑客不那么有趣。 网站上的数据也不敏感。实际上,我们只是将相同的数据作为XML导出到我们的某个桌面产品的用户,如果他们知道它在哪里,任何人都可以查看这些信息。我们只是阻止每个人修改数据,除了一些超级用户。更糟糕的是,超级用户会破坏所有数据,在这种情况下我们必须恢复备份。在最糟糕的情况下,我们会丢失一天的数据输入,最多可以转换为一百次修改。 (98实际上是迄今为止一天内修改的最高数量。)
总而言之,这不是非常关键的数据。我们只是想要一些安全性。
现在,管理层建议建立一个额外的数据库,我们将存储用户名和密码,添加加密并执行各种其他操作来保护这些用户数据,他们基本上构成各种奇怪的方案来处理用户账户。他们都不具备软件设计技术方面的经验,也没有任何关于使系统安全的知识。因此,他们的设计变得完整混乱。 (使用大写C.)他们已经花了两个月的时间来提出功能性设计,因为他们甚至在某些安全方面都不同意。
所以他们让我向他们提供一个易于理解的正确安全洞察力。由于我知道CardSpace和OpenID都是合理安全的,我想将它们作为管理帐户的最佳选择引入它们。添加一个简单的角色系统,每个帐户都连接到一个特殊角色,授予“仅查看”权限,这将很快实现并易于维护。建立这个,进行概念验证并找到足够的技术信息很容易。我只有一个问题......
如何向绝对没有技术背景的人解释CardSpace和OpenID等技术?像“OpenID for Dummies”之类的东西,但更容易理解。我很难找到合适的单词,而不会再变得有点技术性。 (更糟糕的是,如果我没有正确解释这一点,他们可能决定不使用这种技术,我将注定要实施一个怪异的结构。)
请帮助!: - )
哦,好吧。简化问题:我如何用非技术性的话解释使用OpenID或CardSpace优于任何家庭酿造解决方案的优势?
答案 0 :(得分:2)
你可以用“Verisign”论证出售它。
我们都可以生成并存储我们自己强大的加密密钥,但这是一个巨大的开销,而Verisign只是象征性收费,而且就像一个安全的银行(不再是它们中的太多了)它有巨大的数量来自商业界的信任,虽然还有其他公司提供相同的产品,但Verisign是市场的领导者。
互联网安全的另一个方面是用户ID&密码
“Open Id”就像(原谅隐喻)一本护照,它证明了你是谁,因为你已经向一个受信任的机构(发证国家为护照,Verisign等为Open Id)宣告了你的身份,它可以之后用来证明你是谁。
Verisign提供开放式ID,Versign在市场上值得信赖,您可以信赖开放式ID。
答案 1 :(得分:1)
使用经过验证的解决方案,例如OpenId或CardSpace,是:
- 降低成本
- 更可靠的
- 更快地实施
- 更安全
- 不是另一个要记住的密码
答案 2 :(得分:1)
我一直认为,如果从经济学角度解释安全问题,向管理者解释安全性最简单 - 不仅仅是在经济上,而是尝试用经济理论来描述用户体验:
现在,您可以讨论每种方法的货币成本,用户体验成本和开发成本,以及业务风险,可能性和可能性。管理人员需要了解成本和风险,因此应该善于处理您的解释: - )。
答案 3 :(得分:1)
编写自己的安全系统很难。错误的可能性很大。错误的后果是巨大的尴尬,潜在的诉讼以及公司底线的最终成本。
明智的解决方案是尽量减少对公司的风险。
(你也可以诉诸于他们的自我保护意识。如果内部解决方案采用梨形而不是现成的解决方案,谁会受到指责?)
答案 4 :(得分:0)
您使用什么技术编写此Intranet站点?几乎所有使用中的技术都有一种实现安全性的好方法 - 从头开始重新安全地保证安全性。
那并不是说你的经理错了。就像你知道他们不理解的技术限制一样,他们也可能知道你不了解的公司政策或政策。