Что я должен делать, когда мой начальник говорит мне, чтобы в нашем программном обеспечении пароли были такими же, как и имена пользователей по умолчанию?

Question

Мой босс против того, чтобы требовать от наших пользователей безопасных паролей, даже заходя так далеко, что просил, чтобы они были настроены по умолчанию так, чтобы пароли совпадали с их именем пользователя. Что мне делать в этой ситуации? Что бы вы сделали?

Обновление - Некоторые пользователи поднимают вопрос о том, нуждается ли приложение в высокой безопасности. Например, это не информация о кредитной карте, но включает в себя конфиденциальную информацию, а также функции управления списком рассылки и отправки.

Answer 1

Сделайте наилучший случай для надежных паролей, а затем, к сожалению, если они не видят вашу точку зрения, либо сделайте то, что они просили, либо найдите лучшую работу.

Answer 2

То, что вам сказали.

... Затем, соответственно, сообщите начальнику в письменном виде, какие проблемы это вызовет.

Не копируйте никого. Это мое мнение, конечно. Если вы CC, это будет выглядеть очевидным. Вы действительно просто хотите безопасности, но вам нужно прикрыться. Вы не должны быть лошади позади этого, хотя.

Храните его в отправленной коробке, распечатайте, что угодно, если вы действительно обеспокоены.

edit - Вы делаете то, что вам говорят, если это не вопрос моральной терпимости. Затем вы просто документируете, что вы сделали и почему вы это сделали. Просто помните, что если вы не документируете это - этого не произошло. Документирование - это то, что вы всегда должны делать.

Answer 3

В качестве компромисса существуют более лучшие значения по умолчанию, такие как использование серийного номера пользователя, года рождения, инициалов, некоторой комбинации, в зависимости от того, что у вас под рукой. Не самый безопасный, но не менее важный.

Answer 4

Требуется ли вашему приложению высокий уровень безопасности ? Если данные, контролируемые вашим программным обеспечением, не являются конфиденциальными и риск для пользователя низок, возможно, вам действительно не нужны надежные пароли.

Если ваше приложение представляет значительный риск для пользователя, если пароли могут быть слабыми, вы должны изложить это как можно лучше в письменной форме. Если вы можете количественно оценить риск и ответственность, сделайте это, но в конечном итоге вам придется оставить решение до вашего начальства.

Answer 5

Нет ничего плохого в том, что пароль по умолчанию совпадает с именем пользователя при условии, что система запрашивает, чтобы пользователь создал новый пароль при первом входе в систему. Затем вы можете разрешить ввод пароля в качестве пароля это низкое требование безопасности. Если вы обрабатываете конфиденциальные данные, то надежность пароля должна быть на соответствующем уровне. Вы не сказали, какие данные вы скрываете. Нет смысла иметь сверхнадежные пароли (12 символов, нижний регистр, верхний регистр, цифры и символы, а также слова из словаря), если это система отслеживания времени в интрасети. Если вы получаете доступ к базе данных налоговой отчетности, вам потребуется как минимум двухуровневая аутентификация - строковый пароль и генерация однократного ключа.

Answer 6

Напишите ему ваше беспокойство (неагрессивным способом). Дайте логический вектор атаки, покажите, что будет выставлено. В заключение попросите его подтвердить, что это его инструкция. Затем отправьте ему (только ему, как было предложено ранее)

Архив электронной почты как оригинала, так и его подтверждения. Это покроет вас, если что-то случится.

Answer 7

Ты должен ударить его сильно. Объясните ему / ей, какая плохая огласка может произойти из-за этого, также зависит от данных, акт защиты данных , и подобные вещи могут действительно привести к серьезной ответственности. По сути, это может считаться дефектом программного обеспечения, поэтому за результаты может отвечать компания.

По сути, вам нужно дать ему причину, которая его укусит, напугайте его. Вот так вы продаете охрану и страховку:)

Если ваш начальник не может придумать такую ​​простую вещь и в конце не может доверять таким ребятам, как вы, возможно, вам следует начать искать новое место, где вы могли бы использовать свой собственный потенциал вместо того, чтобы заниматься этим вопросов.

Answer 8

Это плохая безопасность.

Если это может привести, например, к краже ваших пользователей, то вы несете очень серьезную социальную ответственность за повышение безопасности. Вы по существу имеете дело с жизнями людей. Иди к своему боссу, иди к его или ее боссу. Распечатайте эти комментарии и принесите их с собой. Пойдите в свой юридический отдел и скажите им, сколько воздействия это вызывает. Если ваша компания занимается свалкой токсичных отходов, будут применяться законы. Личная информация и выявление краж не менее серьезны. Сделайте все в письменной форме, чтобы прикрыть себя и предоставить бумажный след доказательств для судебных процессов, которые обязательно последуют. Не позволяйте вашей компании отрицать какие-либо знания о риске после свершившегося факта. Компании, которые сознательно внедряют ужасную безопасность, которая приводит к выявлению краж, должны потерпеть неудачу на рынке и не заслуживают ничего, кроме стыда, насмешек и неудач.

Если, с другой стороны, эта слабая безопасность может привести к сравнительно незначительным последствиям, ваши усилия по повышению безопасности также могут быть уменьшены по сравнению с тем, что я описал выше.

Answer 9

Я сталкивался с этим раньше, когда они не хотели использовать безопасный пароль и / или блокировать свои компьютеры.

Потом случилось так, что наш веб-сайт был взломан (не б / с взлома пароля, а б / у некорректного компонента / модуля для CMS, который мы использовали - но это другая история), и в нескольких разных случаях Люди зашли в компьютер exec для просмотра нескольких неуместных вещей.

Причина такого объяснения состоит в том, что я сказал им, что только после этого и нескольких других тематических исследований они поняли, насколько это важно для надежных паролей.

В качестве решения вы можете попытаться провести какое-либо исследование на примерах, в которых произошло нарушение в системах или сайтах, где хранимая или защищенная информация не была ужасно важной, но причина и деньги, которые потребовались для ее восстановления, были существенными. - например, кто-то настраивает фишинговую аферу на вашем сайте, удерживает в заложниках сервер или сайт и вынужден стирать всю коробку, чтобы начать все сначала, или какой-либо другой тип нарушения.

В любом случае, возьми это за то, что оно стоит.

Answer 10

Вы должны взломать его аккаунт. Тогда он будет знать, почему имя пользователя = пароль не работает.