Se desideri password complesse per proteggere il tuo server / servizio, è una tua "colpa" se le tue politiche sono troppo indulgenti. Ciò presuppone che il tuo server / servizio sia minacciato da una singola compromissione dell'utente finale, il che non è sempre il caso.
Nella misura in cui gli utenti desiderano che il proprio account sia protetto, è il loro "difetto" se non scelgono una password sufficientemente solida, indipendentemente dalle politiche in atto.
Se un numero sufficiente di account viene compromesso, il "difetto" viene determinato da chi fa ruotare la propria vista sul supporto più rapidamente e in modo più efficace.
È davvero un'area in cui puoi condurre un cavallo all'acqua, ma non puoi farli bere. I criteri di password draconiani di solito causano problemi di sicurezza in altre direzioni, come la scrittura di password in basso o il ricorso a sequenze non alfa ipotetiche come le date di nascita. Le politiche sulle password mancanti portano a problemi di link più deboli, poiché qualcuno sceglierà sempre "segreto" come password data la scelta.
"colpa" è un concetto abbastanza nebuloso qui. Potresti chiedere informazioni sulla responsabilità legale, che è più solida. Credo che ci sia stato un caso o due che coinvolgono password bancarie che sono state compromesse e che la banca è stata accusata di non aver richiesto una protezione sufficiente, ma non ricordo i risultati.
In realtà, c'è un affascinante esempio che ho visto la scorsa settimana. Un'associazione senza scopo di lucro ha perso $ 70.000 quando qualcuno ha ottenuto le password per il proprio sistema bancario e le ha sfruttate.
“We had declined some of the security measures offered to us, [but if]
we had those in place this wouldn’t have happened to us,” French said.
“We thought that would be administratively burdensome, and I was more
worried about internal stuff, not somebody hacking into our systems.”
e poi
MECA has since added more security features to its online banking
account, and access to that account is only possible through a
locked-down, dedicated computer.
“All of this is a day late and a dollar short, I guess,” French said.
“Why isn’t someone out shouting on the rooftops about this fraud?
People need to understand how exposed they are.”
Questo illustra l'atteggiamento delle persone verso la sicurezza delle password proprio lì. "Abbiamo rifiutato di rafforzare la nostra sicurezza ... perché qualcuno non ci ha detto di rafforzare la nostra sicurezza?!?" Quanto sono lontani dal citare in giudizio la propria banca per non richiedere una maggiore sicurezza?