¿Cómo negarse a dar acceso a las contraseñas a un cliente sin ser poco profesional o grosero?

8

Digamos que estás creando un sitio web para un cliente. Este sitio web tiene su propio registro (ya sea combinado con OpenID o no). El cliente le pide que pueda ver las contraseñas que eligen los usuarios, dado que los usuarios probablemente usarán la misma contraseña en cada sitio web.

En general, digo:

  • o que es imposible recuperar las contraseñas, ya que no se almacenan en texto plano, sino en hash,

  • o que no tengo derecho a hacer eso o que los administradores no deben poder ver las contraseñas de los usuarios, sin dar detalles adicionales.

La primera es falsa: incluso si las contraseñas están en hash, aún es posible capturarlas y almacenarlas en cada inicio de sesión (por ejemplo, realizar un tipo extraño de auditoría que recordará no solo qué usuario tuvo éxito o no pudo iniciar sesión, sino también con cual contraseña) El segundo es grosero.

¿Cómo rechazar esta solicitud, sin ser ni profesional ni grosero?

security customer-relations passwords Arseni Mourzenko
fuente
24
Estoy desconcertado aquí ... ¿Solicitaron acceso a las contraseñas de los usuarios y declararon la razón ya que sabemos que es probable que usen las contraseñas en varios sitios ? Ni siquiera sabría cómo responder ... No solo son poco profesionales, estamos hablando de fraude / robo de identidad aquí ...
Max
2
¿Están pidiendo su propia contraseña? Si no es así, simplemente dígales que llevará tiempo e informe a las autoridades correspondientes. Dependiendo del sector en el que se encuentre, pueden aplicarse diferentes leyes aquí. El más estricto que conozco requiere que informe esto a las autoridades pertinentes sin que el "cliente" sepa que lo hará.
Apoorv Khurasia
1
es posible que le interese leer esta discusión en SF: serverfault.com/questions/293217/… (sobre la solicitud de contraseñas del auditor de seguridad)
mosquito

Respuestas:

11

Dile la primera parte. Que está almacenando las contraseñas en un hash. Y que todos los sistemas de contraseña funcionan de esta manera. El administrador puede cambiar las contraseñas, restablecer las contraseñas, pero no puede leer las contraseñas. Si su cliente conoce la programación, puede saber que puede interceptar las contraseñas antes del hash.

Ahora pase a la segunda parte. ¿Tiene el sitio una política de privacidad o términos de uso? El uso del sitio para recopilar las contraseñas violaría la mayoría de estas políticas. Si el cliente insiste en recopilar esta información, explique que esto haría que su sitio fuera inútil y un pueblo fantasma si la comunidad no pudiera confiar en el sitio.

Si queda claro que su intención es robar contraseñas. Correr. Encuentre un nuevo trabajo o un nuevo contrato. Si trabaja para una empresa con este contrato, dígales lo que sabe.

mhoran_psprep
fuente
Como señalé en la pregunta en sí misma, dependiendo del sector en el que esté trabajando (banca, por ejemplo), no llevar la brecha política a la atención de los reguladores (FED, por ejemplo) lo hace penalmente responsable. Muchos sectores tienen leyes similares (puede que no sean tan duras). Por lo tanto, correr y encontrar un nuevo trabajo puede no ser tan bueno después de todo.
Apoorv Khurasia
¿Podría proporcionar un enlace para esta ley? Parece que desanimaría a muchos denunciantes.
Erik Reppen
@ErikReppen: ¿Por qué ser penalmente responsable por no denunciar la denuncia de irregularidades?
Brian
Porque si entiendo a Monster Truck correctamente (en los comentarios de respuesta), usted es responsable de decirle al cliente que se está comunicando con las autoridades. Pero, ¿y si eso es lo primero que les dijiste cuando hicieron la solicitud? También huele a atrapamiento a través de proxy. Si alguien los hubiera advertido, lo que provocaría que detuvieran el comportamiento delictivo y los federales estuvieran tratando de evitar que lo hicieras, ¿en qué se diferencia eso de los propios federales alentándolos a violar la ley? Es una estupidez imponer consecuencias a los denunciantes por no hacer las cosas exactamente como quieren.
Erik Reppen
3

¿El sitio web tiene una "Declaración de privacidad"? ¿Y esa declaración incluye algo sobre la entrega de "información sensible"?

En ese caso, probablemente diría: "No tengo la libertad de entregar información confidencial sobre el usuario. ¡Esto constituye una clara violación de nuestra propia declaración de privacidad!" (El signo de exclamación aquí es importante). Si no tienes una declaración de privacidad, diría lo mismo, excepto por la última oración.

Las personas que hacen tales preguntas no deben recibir excusas falsas, ya que es técnicamente imposible. Deben ser educados en la verdad, las contraseñas del usuario son privadas, y es moral y éticamente incorrecto (y probablemente también ilegal como alguien mencionó) reunirlas del sistema.

Pete
fuente
+1 por no repartir excusas falsas. Es mejor pasar directamente a la persecución ilegal / poco ética donde están involucrados los imbéciles.
Erik Reppen
2

Simplemente diga que no quiere experimentar la vida en prisión :) Debido a que sabe lo que le preguntan, si es claramente por un uso ilegal de las contraseñas de los usuarios, los llevará a muchos problemas importantes. Creo que la mejor manera es tratar de enseñarles por qué es realmente malo hacer cosas así.

Pero el verdadero problema es, en mi opinión, el hecho de que trabajas para ladrones mientras no te gustan los ladrones. En lugar de encontrar una manera de no ser demasiado grosero con las personas que no te gustan, ¿no sería mejor si dejas de trabajar para ellos? Sugeriría que agregue algunas cláusulas sobre lo que no está listo para hacer en sus contratos futuros para evitar ese tipo de situaciones.

De todos modos, el hecho de que no estés listo para hacer lo que te piden que hagas es ilegal.

lvictorino
fuente
1

Por supuesto que quiere ser amable, podría indicar que esta solicitud es inusual y que requiere la aprobación de las autoridades superiores. Sería bueno explicar el impacto de este acto en la organización y los usuarios. Esto es para garantizar que el bot y el cliente comprendan completamente la situación. Debe mantener todo por escrito, por supuesto.

Podría expresar la situación en una declaración de política y pedirle al principal tenedor / administrador de estaca del sistema que apruebe o rechace la política y la use como documentación de respaldo para su respuesta a la solicitud. También puede agregarle el hecho de que los usuarios serán notificados del hecho de que sus contraseñas no son secretas.

Es todo un asunto de política, nada más y nada menos.

Ninguna posibilidad
fuente
2
Eso no es solo una cuestión de política, ya que el cliente claramente quiere robar las contraseñas. No se puede pedir a ningún desarrollador que sea cómplice de tal cosa. Es difícil llamar a la policía sobre esto y probablemente sea difícil para MainMa no ser grosero, pero no puede cumplir, independientemente de lo que digan la política y los accionistas.
Denys Séguret
@distroy, bueno, no estamos seguros del papel de la persona que solicita esta información. Cualquier cosa es legal siempre que haya una ley que lo diga. Estamos en un mundo donde incluso matar es justificable bajo la ley.
NoChance
0

Seguramente solo almacenará contraseñas hash, por lo que es imposible. Si no, tienes mayores problemas. Entonces esa es la respuesta correcta.

Craig
fuente
1
Hay una oportunidad, sin embargo, antes de que las contraseñas se corten. El navegador envía la contraseña al servidor en texto sin formato, y el código del lado del servidor (del cual es responsable MainMa) la recibe en texto sin formato.
user16764
0

Creo que primero diría que están encriptados en un solo sentido, y luego pasaré a requerir una solicitud por escrito (en papel con membrete) (de quien esté a cargo) para que pueda presentarla a la policía / FBI (o el equivalente del país) relevante) / etc si es necesario. Engrape eso a una copia de correos electrónicos en ambas direcciones, entonces la pelota está en su cancha. No puedo ver ninguna compañía de ningún tipo que solicite esto, por lo que probablemente sea un individuo y probablemente retrocedan en la solicitud.

Si me dan el papeleo, entonces son sus datos, su solicitud, si violan su propia política de privacidad o la ley, entonces es su cabeza.

Wolf5370
fuente