gpt4 book ai didi

security - 是否有任何已发布的密码和网站成员(member)资格框架或标准?

转载 作者:行者123 更新时间:2023-12-01 11:09:29 24 4
gpt4 key购买 nike

我目前正在进行一个项目,我们正在为我的组织创建一个大型公共(public)网站。该站点将允许客户注册和登录以获取敏感的个人信息。

根据经验,我知道一些基本知识,例如需要复杂的密码和需要电子邮件地址才能重置密码,这些都是常用的。

基本上,我要寻找的是针对此类要求的某种有据可查的建议或标准(如 NIST 或 ISO)。

我需要将此提交给坚持要求我们的更高级别的主管:

  • 不要求用户有电子邮件地址
  • 要求我们允许用户让我们的网站仅通过验证姓名、生日和 SSN 将密码显示给用户
  • 以纯文本形式通过电子邮件发送密码,而不是通过电子邮件发送临时密码并让他们来我们的网站重置 PW。
  • 要求我们分配简单的系统生成的用户名,例如首字母、姓氏的前 3 个字符和随机生成的 4 位数字。 (与用户选择他们想要的任何名称相反)

如果我能提出某种行业标准来说明为什么存在这些风险,那将非常有帮助。

最佳答案

好吧,让我来回答你的尖头导演的建议(我知道你知道他是错的,不要把它放在心上),我无法抗拒:

  • not requiring the users to have an email address

欢迎使用假账户。

  • asking us to allow the users to have our site display the password back to the user just by verifying a Name, Birthday and SSN

在我的国家和文化中,隐私是一个真正的问题,所以你永远不会得到我的 SSN,我也不会注册到任何网站询问这个。顺便说一句,如果这是可以在网络上找到的信息(我听说美国就是这种情况),这似乎并不安全。为什么不添加一些个人熵的安全问题?

  • emailing the password in plain text as opposed to emailing a temp password and having them come to our site to reset the PW.

哈哈!首先,如果您没有用户的电子邮件地址(并且在注册时没有验证),您将如何做到这一点?然后,能够发回密码意味着您不会存储加盐密码的哈希值。馊主意。您的主管是计划存储明文密码(在最坏的情况下)还是使用对称加密(在最好的情况下)?在后一种情况下,我想知道他计划将对称加密 key 存储在哪里。也许在他键盘下的便利贴上。不确定是否值得一提电子邮件不安全。

  • requiring we assign simple system generated username like first initial, first 3 characters of the last name with a 4 digit randomly generated number (as opposed to the user picking any name they want)

有一个系统建议 可用的用户名 没问题(尤其是当很难找到可用的用户名时),但我不喜欢它们不提供允许我选择一个用户名。话虽如此,我不认为强制使用用户名是主要威胁。


所以,换句话说,我真的不会相信有这种做法的网站,也不会给它任何明智的信息。实际上,我根本不会提供任何信息(即不注册),但我不是 lambda 用户。

我知道这不是问题的直接答案,但说真的,对某事完全一无所知的人什么时候开始让有更好理解的人来做他们的工作?这太荒谬了。


现在,回答这个问题的一些建议:

关于security - 是否有任何已发布的密码和网站成员(member)资格框架或标准?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1566923/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com