web-dev-qa-db-ja.com

専門家ではない、または失礼なことなく、顧客にパスワードへのアクセスを与えることを拒否する方法は?

顧客向けのWebサイトを作成しているとしましょう。このWebサイトには独自の登録があります(OpenIDと組み合わせるかどうか)。ユーザーは、ユーザーがおそらくすべてのWebサイトで同じパスワードを使用していることを前提として、ユーザーが選択しているパスワードを確認できるようにするように求めています。

一般的に、私は言います:

  • パスワードはプレーンテキストではなくハッシュ化されているため、パスワードを取得することは不可能です。

  • または、私にはそれを行う権利がないこと、または管理者が追加の詳細を提供せずにユーザーのパスワードを表示できないようにする必要があること。

最初のパスワードは誤りです。パスワードがハッシュされている場合でも、ログオンのたびにパスワードをキャッチして保存することができます(たとえば、ログオンに成功または失敗したユーザーだけでなく、どのパスワード)。二つ目は失礼です。

専門家でも失礼でもないで、この要求を拒否するにはどうすればよいですか?

securitycustomer-relationspasswords
8
Arseni Mourzenko

彼に最初の部分を教えてください。パスワードをハッシュに保存していること。そして、すべてのパスワードシステムはこのように機能します。管理者はパスワードを変更したり、パスワードをリセットしたりできますが、パスワードを読み取ることはできません。プログラミングに精通している顧客は、ハッシュの前にパスワードを傍受できることを知っているかもしれません。

次に、2番目の部分に進みます。サイトにはプライバシーポリシーまたは利用規約がありますか。サイトを使用してパスワードを収集することは、これらのポリシーのほとんどに違反します。顧客がこの情報を収集することに固執している場合は、コミュニティがサイトを信頼できない場合、サイトが役に立たなくなり、ゴーストタウンになることを説明します。

彼らの意図がパスワードを盗むことであることが明らかになった場合。実行します。新しい仕事や新しい契約を見つけましょう。この契約に基づいて会社で働いている場合は、知っていることを伝えてください。

11
mhoran_psprep

ウェブサイトには「プライバシーステートメント」がありますか?そして、その声明には「機密情報」の配布についての何かが含まれていますか?

その場合、私はおそらく「ユーザーの機密情報を自由に配布することはできません。それは私たち自身のプライバシーステートメントに明らかに違反しています!」と言うでしょう。 (ここの感嘆符は重要です)。プライバシーに関する声明がない場合は、最後の文を除いて同じことを言います。

そのような質問をする人は、技術的に不可能であるなど、誤った言い訳を与えられるべきではありません。それらは真実で教育されるべきであり、ユーザーのパスワードは非公開であり、システムからそれらを収集することは道徳的および倫理的に間違っています(そしておそらく誰かが言及したように違法でもあります)。

3
Pete

終身刑を実験したくないとだけ言ってください:)彼らがあなたに何を尋ねるか知っているので、それが明らかにユーザーのパスワードの違法な使用のためであるならば、彼らは多くの大きな問題につながるでしょう。そのようなことをするのが本当に悪い理由を彼らに教えようとするのが最善の方法だと思います。

しかし、本当の問題は、泥棒が嫌いなのに泥棒のために働いているという事実です。嫌いな人に失礼になりすぎないようにする方法を見つける代わりに、彼らのために働くのをやめたほうがいいのではないでしょうか。そのような状況を回避するために、将来の契約で行う準備ができていないことについていくつかの条項を追加することをお勧めします。

とにかく、あなたが彼らにあなたがするように頼むことをする準備ができていないという事実は、それが違法なあなたを称えるからです。

2
lvictorino

もちろん、ニースになりたい場合は、この要求が異常な要求であり、上級当局からの承認が必要であることを示すことができます。この行為が組織とユーザーに与える影響を説明するとよいでしょう。これは、ボットと顧客が状況を完全に理解していることを確認するためです。もちろん、すべてを書面で保管する必要があります。

ポリシーステートメントで状況を表現し、システムの主要な利害関係者/管理者にポリシーを承認または拒否するように依頼し、それを要求への応答のバックアップドキュメントとして使用できます。また、パスワードが秘密ではないという事実がユーザーに通知されるという事実を追加することもできます。

それはすべて政策の母であり、それ以上でもそれ以下でもありません。

1
NoChance

私は最初にそれらが一方向に暗号化されていると言ってから、警察/ FBI(またはそれに相当する国)に提示できるように(責任者からの)書面による(レターヘッド付きの)要求を要求することに移ると思います必要に応じて)/ etc。それを両方向の電子メールのコピーに留めると、ボールは彼らの法廷にあります。これを要求している会社は見当たらないので、おそらく個人であり、おそらく要求に応じて撤回するでしょう。

彼らが私に書類を与えたなら、それは彼らのデータ、彼らの要求であり、彼らが彼ら自身のプライバシーポリシーや法律を破ったら、それは彼らの頭です。

0
Wolf5370

確かにあなたはハッシュされたパスワードだけを保存しているので、それは不可能です。そうでない場合は、より大きな問題があります。これが正しい応答です。

0
Craig