Ho il compito di implementare un sistema di gioco basato sul web che viene gestito in loco. I requisiti che mi sono stati dati dal co-fondatore e designer della compagnia per l'accesso utente danno le bandiere rosse per quanto riguarda la sicurezza, il che mi sorprende perché tutti gli altri ruoli devono essere sicuri (cassiere, proprietario del sito, amministratore, ecc. nomi utente e password).
Ecco come gli utenti devono accedere a questo sistema:
- L'utente va al cassiere, registra e paga i soldi per i crediti.
- Il cassiere crea l'utente, fornisce i crediti del proprio account e dà loro il proprio ID utente.
- L'ID utente ha solo sette caratteri.
- L'ID utente è solo cifre.
- L'ID utente viene mostrato in testo normale sullo schermo alla cassa.
- L'ID utente viene stampato su una ricevuta fornita all'utente.
- Non c'è password. L'ID utente da solo viene utilizzato per accedere.
- L'utente accede a un terminale di un sito, accede con l'ID utente e gioca ai giochi.
L'ID utente viene fatto apparire come una password perché, quando il giocatore accede a un terminale per accedere, viene presentato sullo schermo con un tastierino numerico e le cifre che inseriscono sono mascherate.
Quali sono tutti i modi in cui questo sistema può essere compromesso? Gli ho suggerito che 7 cifre non erano sicure come potrebbe essere indovinato, ma ha detto che gli utenti non vogliono inserire numeri lunghi per l'accesso e che potrebbero esserci max 2.000 utenti per sito.