Sto avendo un disaccordo con qualcuno (un cliente) sul processo di identificazione / autenticazione dell'utente per un sistema. Il nocciolo di esso è che vogliono che ogni utente abbia una password unica globale (cioè che due utenti non possano avere la stessa password). Ho respinto tutti gli argomenti ovvi contro questo (è una vulnerabilità di sicurezza, confonde l'identificazione con l'autenticazione, è inutile, ecc.) Ma insistono sul fatto che non c'è niente di sbagliato in questo approccio.
Ho fatto varie ricerche su google alla ricerca di opinioni autorevoli (o semi-autorevoli, o anche solo indipendenti) su questo, ma non ne trovo nessuna (principalmente è solo un ovvio errore che non sembra degno di essere avvertito contro, per quanto posso dire). Qualcuno può indicarmi una qualsiasi opinione indipendente, per favore?
[EDIT]
Grazie per tutte le vostre risposte, ma ho già capito i problemi con questo approccio / requisito proposto e posso persino spiegarle al cliente, ma il cliente non le accetterà, quindi la mia richiesta di fonti indipendenti e / o autorevoli.
Ho anche trovato l'articolo del Daily WTF, ma soffre del problema che Jon Hopkins ha sottolineato - che è un WTF così evidente che non sembra opportuno spiegare perché .
E sì, le password saranno salate e hash. Nel qual caso l'unicità globale potrebbe essere difficile da garantire, ma questo non risolve il mio problema - significa solo che ho il requisito che il cliente non si muova, non solo è mal consigliato, ma è anche difficile strumento. E se fossi in grado di dire "Non mi sto basando su salatura e hashing", sarei in grado di dire "Non sto implementando password univoche a livello globale".
Qualsiasi suggerimento a fonti indipendenti e / o autorevoli per spiegare perché questa è un'idea cattiva ancora ricevuta con gratitudine ...
[/ EDIT]