我的老板反对要求我们的用户拥有安全密码,甚至要求他们默认设置密码与用户名相同。在这种情况下我该怎么办?你会做什么?
更新 - 有些用户提出了应用程序是否需要高安全性的问题。例如,这不是信用卡信息,但包括敏感信息和邮件列表管理和发送功能。
答案 0 :(得分:14)
为强密码制作最好的案例然后,不幸的是,如果他们没有看到你的观点,要么做他们的要求,要么找到更好的工作。
答案 1 :(得分:7)
你被告知的是什么。
... 然后让上司知道会写出哪些问题。
不要CC任何人。当然,这是我的看法。如果你CC,它看起来很明显。你真的只想要安全,但你必须掩盖自己。不过,你不必成为马背后的人。
如果你真的担心的话,请把它放在你发送的盒子里,打印出来,等等。
编辑 - 除非是某种道德败坏的问题,否则你会按照自己的意思行事。然后,您只需记录您的操作以及操作原因。请记住,如果你不记录它 - 它没有发生。记录是你应该经常做的事情。
答案 2 :(得分:5)
作为妥协,有更好的默认方式,例如使用用户的序列号,出生年份,姓名首字母,某些组合,具体取决于您手头的情况。不是最安全但也不是最不安全。
答案 3 :(得分:2)
您的应用是否需要高安全性?如果您的软件控制的数据不敏感且对用户的风险很低,那么您可能真的不需要强密码。
如果您的应用确实对用户构成了重大风险,如果允许密码较弱,您应该以书面形式尽可能地做出这种情况。如果您可以量化风险和责任,请这样做,但最终您必须将决定权交给上级。
答案 4 :(得分:2)
默认密码与用户首次登录时系统请求用户创建新密码所提供的用户名相同没有任何问题。然后您可以允许任何密码作为密码。安全性要求低。如果您正在处理敏感数据,那么密码强度必须达到适当的水平。你还没有说出你隐藏的数据。如果它是基于内联网的时间跟踪系统,那么拥有超强密码(12个字符,小写,大写,数字和符号以及字典中没有单词)是没有意义的。如果您正在访问类似税务记录数据库的内容,那么您至少需要两个级别的身份验证 - 字符串密码和一次密钥生成。
答案 5 :(得分:1)
你应该努力打他。解释他/她可能会发生什么样的不良宣传,因为这也取决于数据,数据保护法和类似的东西实际上可能会造成严重的责任。基本上这样做可以被视为软件缺陷,因此公司可以对结果负责。
基本上你需要给他一个会咬他的理由,吓唬他。这就是你出售证券和保险的方式:)
如果老板无法弄清楚这么简单的事情并且最终无法信任像你这样的人,也许你应该开始寻找一个新的地方,你可以实际上利用自己的潜力而不是处理这些问题。
答案 6 :(得分:1)
通过电子邮件向他发送您的问题(以非侵略性的方式)。给出逻辑攻击向量,揭示将要暴露的内容。通过询问他的确认结束这是他的指示。然后发送给他(只有他,如前所述)
电子邮件归档您的原始电子邮件和他的确认。如果发生了什么事,这将覆盖你。
答案 7 :(得分:1)
这是安全性差。
如果它可能导致您的用户识别盗窃,那么您就有了非常严肃的社会责任来提高安全性。你基本上是在处理人们的生活。去找你的老板,去找他或她的老板。打印出这些评论并将它们带到一起。去你的法律部门,告诉他们这会导致多少曝光。如果贵公司倾倒有毒废物,吹口哨鼓风机法则适用。个人信息和识别盗窃同样严重。以书面形式做所有事情以掩盖自己,并为必然会出现的诉讼提供证据的书面记录。在事后,不要让贵公司否认任何风险。那些故意实施可怕安全措施以确定盗窃行为的公司应该在市场上失败,除了羞耻,嘲笑和失败之外别无其他。
如果另一方面,这种安全性差可能导致相对较小的事情,那么您提高安全性的努力也可以从我上面描述的内容中缩减。
答案 8 :(得分:0)
我发现几个人共享密码的情况,因为有时安全性不如其他东西重要。特别是在内联网中。
解决方案可以是存储每个用户的IP地址。这是一种安全措施,更接近安全摄像头,而不是锁,但它可能足以满足老板的想法。
答案 9 :(得分:0)
有些事情让我想起你可能想与老板分享 -
最大的安全威胁不是局外人,而是与你合作的人。如果有人因为你去过那里而被解雇,那就把它与你的老板联系起来 - “如果XXXX可以访问其他人的账户怎么办?”那个人很多人都没有窃取数据,但是他们可能会试图破坏系统或乱用数据。或者他们甚至可以与竞争对手分享这些数据?
提出一个更强大的默认值作为妥协 - 用户名和家庭电话号码的4位数。它并没有那么强大,但确实让猜测变得更加困难。
人们可以使用助记符制作相当安全的密码。但是,你需要培训人们如何做到这一点。提议与您的用户举行有关如何创建安全密码的会话。老实说,这不仅适用于他们工作的地方,也适用于网上商店或银行的任何人。对于那些不得不兼顾多个密码的IT人来说,容易的事情对其他人来说可能更难。
http://digitarald.de/playground/mnemonic-password-generator/
答案 10 :(得分:0)
之前我遇到过这种情况,他们不想使用安全密码和/或锁定他们的计算机。
然后发生了我们的网站遭到入侵(不是密码泄露的b / c,而是我们使用的CMS的有缺陷的组件/模块的b / c - 但这是一个不同的故事)并且在几个不同的场合,人们已登录到exec的计算机上查看一些不适当的东西。
这种解释的原因是,直到我和其他一些案例研究引起他们注意,他们才明白安全密码的重要性。
作为一种解决方案,您可以尝试对存储或保护信息不是非常重要的系统或站点发生违规的案例研究进行一些研究,但损失的原因和资金需要大量恢复。 - 例如,有人在您的网站上设置网络钓鱼诈骗,持有人为服务器或网站&必须擦拭干净整个盒子重新开始,或其他类型的破坏。
无论如何,把它拿走它的价值。
答案 11 :(得分:0)
你应该入侵他的帐户。然后他会知道为什么用户名=密码不起作用。
答案 12 :(得分:0)
他说他们必须全部小写...... 他明确表示他们不得不包括数字......
答案 13 :(得分:0)
我会先考虑请求背后的原因。
它真的是一个有用户名+密码的活跃用户,应该首先设置什么?也许用户应该收到一封带有激活链接的电子邮件:)
敏感信息什么时候进入系统?假设它是由用户输入的,只需要一个激活步骤,用户可以更改密码(或者是第一次有密码)。
请注意,如果您正在处理敏感信息,则可能存在与之相关的法律。我也会调查一下,如果它是非法的,它就会形成一个强有力的案例,在这种情况下,你应该真的考虑说明一点(当然首先解释原因)。
答案 14 :(得分:0)
Slough可能会出现在某些东西上 - 但它可能太苛刻了。
也许采取组合方式。
做什么问题 - 但是在提出时,确保它破裂,或者你有一些机制可以显示它不是一种安全的方法或原因。 (这将在执行之前经过审核流程吗?)
还可以找到任何描述来自受尊敬的行业同行的“最佳编码实践”的文档,无论是书本还是在线,甚至办公室同事,都可能能够支持您的观点。介绍你的消息来源,如果他们被忽略了,你就已经完成了你的职责和尽职调查,最后的结果将落在上司的肩上。
答案 15 :(得分:0)
为什么在第一个使用user / pasword?
如果您想要与用户连接动作(无论如何),我作为用户需要我的密码是安全的!
如果你的老板害怕,他可能会失去“知识”,如果用户不在,并且他需要访问那些uesers数据,则要求所有人在密封的信封中写下他的密码。
如果你的老板不信任你,kündige!
彼得
答案 16 :(得分:0)
我会整理一份关于密码政策,强密码的好处等的摘要文件,并将其提交给他审核,并尝试将其作为公司政策的一部分。如果他们仍然不喜欢它,那就按照他们的要求行事,因为他们是最终的客户,你已经尽了自己的一份力量来教育他们陷入困境。
答案 17 :(得分:0)
做老板说的话,但让密码在相对较短的时间内到期。
答案 18 :(得分:0)
争辩说有更强的密码,但也做出妥协。密码是否默认为用户名,某些字母可能替换为数字?这一切都取决于系统。如果这是一个内部系统,那么有人可能很难获得对系统和系统的访问权限。做任何伤害。