Wie kann man einem Kunden den Zugriff auf Passwörter verweigern, ohne unprofessionell oder unhöflich zu sein?

8

Angenommen, Sie erstellen eine Website für einen Kunden. Diese Website hat eine eigene Registrierung (entweder in Kombination mit OpenID oder nicht). Der Kunde fordert Sie auf, die von den Benutzern ausgewählten Kennwörter anzuzeigen, da die Benutzer wahrscheinlich auf jeder Website dasselbe Kennwort verwenden.

Im Allgemeinen sage ich:

  • entweder, dass es unmöglich ist, die Passwörter abzurufen, da sie nicht im Klartext gespeichert, sondern gehasht werden,

  • oder dass ich kein Recht dazu habe oder dass Administratoren die Passwörter von Benutzern nicht sehen können, ohne zusätzliche Details anzugeben.

Das erste ist falsch: Selbst wenn die Passwörter gehasht sind, ist es dennoch möglich, sie bei jeder Anmeldung abzufangen und zu speichern (z. B. eine seltsame Art von Prüfung durchzuführen, bei der nicht nur gespeichert wird, welcher Benutzer sich erfolgreich angemeldet hat oder nicht, sondern auch mit welches Passwort). Der zweite ist unhöflich.

Wie kann man diese Anfrage ablehnen, ohne unprofessionell oder unhöflich zu sein?

security customer-relations passwords Arseni Mourzenko
quelle
24
Ich bin hier verblüfft ... Sie haben um Zugriff auf die Passwörter der Benutzer gebeten und den Grund angegeben, da wir wissen, dass sie die Passwörter wahrscheinlich auf mehreren Websites verwenden werden . Ich würde nicht einmal wissen, wie ich reagieren soll ... Sie sind nicht nur unprofessionell, wir reden hier über Betrug / Identitätsdiebstahl ...
Max
2
Fragen sie nach ihrem eigenen Passwort? Wenn nicht, sagen Sie ihnen einfach, dass es einige Zeit dauern wird, und informieren Sie die zuständigen Behörden. Je nachdem, in welchem ​​Sektor Sie tätig sind, können hier unterschiedliche Gesetze gelten. Die strengste, die mir bekannt ist, erfordert, dass Sie dies den zuständigen Behörden melden, ohne den "Kunden" darüber zu informieren.
Apoorv Khurasia
1
Sie könnten interessiert sein, diese Diskussion unter SF zu lesen: serverfault.com/questions/293217/… (über die Anfrage nach Passwörtern vom Sicherheitsprüfer)
Mücke

Antworten:

11

Sag ihm den ersten Teil. Dass Sie die Passwörter in einem Hash speichern. Und dass alle Passwortsysteme so funktionieren. Der Administrator kann Kennwörter ändern, Kennwörter zurücksetzen, aber keine Kennwörter lesen. Wenn Ihr Kunde über Programmierkenntnisse verfügt, weiß er möglicherweise, dass Sie die Kennwörter vor dem Hash abfangen können.

Fahren Sie nun mit dem zweiten Teil fort. Verfügt die Website über eine Datenschutzrichtlinie oder Nutzungsbedingungen? Die Verwendung der Website zum Sammeln der Kennwörter verstößt gegen die meisten dieser Richtlinien. Wenn der Kunde darauf besteht, diese Informationen zu sammeln, erklären Sie, dass dies seine Website unbrauchbar und eine Geisterstadt machen würde, wenn die Community der Website nicht vertrauen könnte.

Wenn klar wird, dass sie Passwörter stehlen wollen. Lauf. Finden Sie einen neuen Job oder einen neuen Vertrag. Wenn Sie für ein Unternehmen an diesem Vertrag arbeiten, teilen Sie ihm mit, was Sie wissen.

mhoran_psprep
quelle
Wie ich in der Frage selbst ausgeführt habe, werden Sie je nach Branche, in der Sie tätig sind (z. B. Bankwesen), strafrechtlich haftbar gemacht, wenn Sie die Regulierungsbehörde nicht auf die politische Lücke aufmerksam machen (z. B. FED). Viele Sektoren haben ähnliche Gesetze (möglicherweise nicht so streng). Der Lauf und die Suche nach einem neuen Jobrat ist also vielleicht doch nicht so gut.
Apoorv Khurasia
Könnten Sie einen Link für dieses Gesetz bereitstellen? Das scheint viel Whistleblowing zu entmutigen.
Erik Reppen
@ErikReppen: Warum sollte die strafrechtliche Verantwortlichkeit für das Nicht-Whistleblowing das Whistleblowing entmutigen?
Brian
Denn wenn ich Monster Truck richtig verstehe (in Antwortkommentaren), sind Sie dafür verantwortlich, dem Kunden mitzuteilen, dass Sie sich an die Behörden wenden. Aber was ist, wenn das das erste ist, was Sie ihnen gesagt haben, als sie die Anfrage gestellt haben? Es riecht auch nach Einschluss über Proxy. Wenn jemand sie gewarnt hätte, was dazu geführt hätte, dass sie das kriminelle Verhalten gestoppt hätten und die Regierung versucht, Sie daran zu hindern, wie unterscheidet sich das von der Regierung selbst, die sie ermutigt, das Gesetz zu brechen? Es ist dumm, Whistleblowern Konsequenzen aufzuerlegen, wenn sie die Dinge nicht genau so machen, wie sie es wollen.
Erik Reppen
3

Verfügt die Website über eine "Datenschutzerklärung"? Und beinhaltet diese Aussage etwas über das Verteilen "sensibler Informationen"?

In diesem Fall würde ich wahrscheinlich sagen: "Es steht mir nicht frei, vertrauliche Informationen über den Benutzer weiterzugeben. Dies verstößt eindeutig gegen unsere eigene Datenschutzerklärung!" (Das Ausrufezeichen hier ist wichtig). Wenn Sie keine Datenschutzerklärung haben, würde ich dasselbe sagen, mit Ausnahme des letzten Satzes.

Den Personen, die solche Fragen stellen, sollten keine falschen Ausreden gegeben werden, da dies technisch unmöglich ist. Sie sollten in der Wahrheit unterrichtet werden, die Passwörter des Benutzers sind privat und es ist moralisch und ethisch falsch (und wahrscheinlich auch illegal, wie jemand sagte), sie aus dem System zu sammeln.

Pete
quelle
+1 für das Nichtverteilen falscher Ausreden. Es ist besser, direkt zur illegalen / unethischen Verfolgung überzugehen, wenn es um Idioten geht.
Erik Reppen
2

Sagen Sie einfach, dass Sie das Leben im Gefängnis nicht experimentieren möchten :) Weil Sie wissen, was sie Sie fragen, wenn es sich eindeutig um eine illegale Verwendung von Benutzerpasswörtern handelt, werden sie zu vielen großen Problemen führen. Ich denke, der beste Weg ist, ihnen beizubringen, warum es wirklich schlecht ist, solche Dinge zu tun.

Aber das eigentliche Problem ist, imho, die Tatsache, dass Sie für Diebe arbeiten, während Sie Diebe nicht mögen. Wäre es nicht besser, wenn Sie einfach aufhören, für sie zu arbeiten, anstatt einen Weg zu finden, wie Sie nicht zu unhöflich mit Menschen umgehen können, die Sie nicht mögen? Ich würde vorschlagen, dass Sie einige Klauseln darüber hinzufügen, was Sie in Ihren Terminkontrakten nicht tun möchten, um solche Situationen zu vermeiden.

Wie auch immer, die Tatsache, dass Sie nicht bereit sind, das zu tun, worum sie Sie bitten, weil das illegal ist, ehrt Sie.

lvictorino
quelle
1

Natürlich möchten Sie nett sein, Sie könnten darauf hinweisen, dass diese Anfrage eine ungewöhnliche Anfrage ist und die Genehmigung durch höhere Behörden erfordert. Es wäre schön, die Auswirkungen dieses Gesetzes auf die Organisation und die Benutzer zu erläutern. Dies soll sicherstellen, dass Sie und der Kunde die Situation vollständig verstehen. Sie müssen natürlich alles schriftlich aufbewahren.

Sie können die Situation in einer Richtlinienerklärung formulieren und den Hauptbeteiligten / Manager des Systems bitten, die Richtlinie zu genehmigen oder abzulehnen und diese als Sicherungsdokumentation für Ihre Antwort auf die Anfrage zu verwenden. Möglicherweise möchten Sie auch hinzufügen, dass Benutzer darüber informiert werden, dass ihre Kennwörter nicht geheim sind.

Es ist alles eine Frage der Politik, nicht mehr und nicht weniger.

Keine Chance
quelle
2
Dies ist nicht nur eine Frage der Richtlinien, da der Kunde die Passwörter eindeutig stehlen möchte. Kein Entwickler kann gebeten werden, ein Komplize von so etwas zu sein. Es ist schwer, die Polizei anzurufen, und es ist wahrscheinlich schwer für MainMa, nicht unhöflich zu sein, aber er kann sich nicht daran halten, was auch immer die Richtlinien und Stapelinhaber sagen.
Denys Séguret
@dystroy, nun, wir sind uns nicht sicher, welche Rolle die Person spielt, die nach diesen Informationen fragt. Alles ist legal, solange es ein Gesetz gibt, das besagt, dass es legal ist. Wir befinden uns in einer Welt, in der sogar das Töten gesetzlich gerechtfertigt ist.
NoChance
0

Sicherlich speichern Sie nur gehashte Passwörter, so dass es unmöglich ist. Wenn nicht, haben Sie größere Probleme. Das ist also die richtige Antwort.

Craig
quelle
1
Es besteht jedoch die Möglichkeit, bevor die Passwörter gehasht werden. Der Browser sendet das Kennwort im Klartext an den Server, und der serverseitige Code (für den MainMa verantwortlich ist) empfängt es im Klartext.
user16764
0

Ich denke, ich würde zuerst sagen, dass sie einseitig verschlüsselt sind, und dann eine schriftliche Anfrage (auf Papier mit Überschrift) (von dem Verantwortlichen) verlangen, damit ich sie der Polizei / dem FBI (oder einem anderen Land) vorlegen kann relevant) / etc wenn und wann erforderlich. Heften Sie das auf eine Kopie von E-Mails in beide Richtungen, dann ist der Ball in ihrem Feld. Ich kann keine Firma von irgendeiner Art sehen, die dies anfordert, also ist es wahrscheinlich eine Einzelperson und sie würde wahrscheinlich auf die Anfrage zurückgreifen.

Wenn sie mir die Unterlagen geben, dann sind es ihre Daten, ihre Anfrage, wenn sie gegen ihre eigenen Datenschutzrichtlinien oder das Gesetz verstoßen, dann sind es ihre Köpfe.

Wolf5370
quelle