Perché crittografare i campi della password? Gestione della risposta

2

Sto cercando una risposta da dare alla gestione di un progetto che ho ereditato dopo che sono stato osservato a fare la sostituzione manuale della password usando uno strumento visivo (tramite il tunnel SSH).

La loro domanda:

Perché crittografare i campi della password se è possibile vedere comunque tutti gli altri dati, inclusi nomi ed e-mail?

La loro domanda deriva dalla loro frustrazione che non possiamo semplicemente dare alle persone una nuova password (le funzionalità di amministrazione sono infranti). Non comprendono il vantaggio di avere queste password crittografate quando, dal loro punto di vista, tutto il resto dei dati è comunque disponibile per un amministratore. Volevo dare più ragionamenti che solo è buona norma non archiviare password chiare .

Ulteriore contesto: la funzione di reimpostazione della password apparentemente non funzionava, quindi sostituivo la password dell'utente copiando il valore crittografato da un account fittizio. Questo è ciò che il manager mi ha visto fare, su loro richiesta, e poi volevo sapere perché valeva la pena rendere le nostre vite rese più difficili dalla crittografia.

Sì, lo so che implica che la logica di crittografia della password corrente ha bisogno di lavoro - diciamo solo che questo è uno dei meno problemi dello sviluppatore originale che finge di non essere estraneo. (Sto usando il termine "crittografia" qui perché non so se il codice è hashing o utilizzando una forma di crittografia reversibile - encryption è in realtà il termine più ampio per i nit-picker.)

Il database SQL è dietro un'API REST - non lo stanno esponendo direttamente. Questo è uno dei pochi peccati non commessi finora, sospiro.

    
posta Andy Dent 23.12.2017 - 02:21
fonte

2 risposte

4

I servizi richiedono un motivo esplicito, specifico e legittimo per raccogliere ed elaborare i dati. Le password sono informazioni personali molto private che nessun servizio ha bisogno di conoscere. In effetti, molte normative industriali e governative affermano che i servizi hanno l'obbligo di proteggere adeguatamente le password degli utenti come dati personali altamente sensibili. Controlla se ci sono regolamenti specifici per il tuo paese e la tua attività.

Inoltre, conoscere un segreto utente privato e personale espone la tua azienda alla responsabilità. Qualsiasi utente può affermare che qualsiasi azione eseguita sotto la sua autenticazione non è stata eseguita dall'utente registrato ma dalla sua azienda. Questo non è un rischio che probabilmente vorrai affrontare. E, visto che non è necessario, c'è un motivo legittimo ancora più piccolo per assumersi questo rischio solo per la comodità delle reimpostazioni della password.

Le password sono l'unico meccanismo che abbiamo al momento per mantenere pulito il processo di autenticazione. Una volta che inizi a cazzeggiare con questo meccanismo molto delicato, tutti perdono.

La risposta all'amministrazione è semplicemente: "Non abbiamo alcun legittimo bisogno di conoscere le password e sapere che esse ci espongono alle responsabilità."

    
risposta data 24.12.2017 - 12:59
fonte
6

Le password devono essere sottoposte a hash (non crittografate - la crittografia implica che può essere annullata) per due motivi.

Il primo è che gli utenti sono negligenti e continuano a utilizzare le stesse password per sistemi diversi . No, non dovrebbero farlo, ma molte persone lo fanno comunque. Quindi, quando il tuo database delle password viene compromesso, le persone non possono semplicemente accedere agli account dell'utente sul tuo sistema, ma anche agli account in qualsiasi altro sistema in cui utilizzano la stessa combinazione di nome utente e password.

Ora le tute chiederanno l'impatto sul business di quel rischio. Dopotutto, non influisce sui loro profitti se gli utenti vengono hackerati su un servizio completamente diverso di proprietà di un'azienda completamente diversa. L'unico argomento che puoi fornire qui è l'argomento delle relazioni pubbliche.

Il secondo problema è attaccanti interni . Quando i dipendenti possono vedere le password di tutti gli utenti che non gli piacciono, possono accedere ai loro account, impersonarle e provocare ogni tipo di scempio con loro.

Ora i semi potrebbero obiettare che un dipendente canaglia ha modi ancora più efficaci di danneggiare gli utenti e che se vengono tentati saranno licenziati. Ma dimenticano che anche i dipendenti hanno una vita privata. Quando accedono ad account utente esterni all'azienda (e coprono sufficientemente le loro tracce), non c'è modo di scoprire chi fosse. O anche scoprire che si trattava di un dipendente e non di qualcuno che ha ottenuto la password dall'hacking di un database di password in chiaro di un'altra società.

    
risposta data 23.12.2017 - 02:39
fonte

Leggi altre domande sui tag