얼마 전 새로운 프로젝트에 참여했습니다. 꽤 오랫동안 개발 중이었습니다. 놀랍게도 모든 사용자의 비밀번호는 암호화되지 않은 양식에 저장되어 있습니다.암호화되지 않은 암호로 암호화 된 암호 사용자 기반
나는이 점에 대해 거대한 보안 취약성을 우리 경영진에게 설명했다. 그들은 그것에 동의하고 프로젝트를보다 안전하게 만들고 싶다. 팀 구성원도 동의합니다.
시스템에 약 20,000 명의 사용자가 있습니다.
실제로이 작업을 수행하는 것은 매우 스트레스가 있습니다. 암호화되지 않은 암호를 암호화 된 양식으로 마이그레이션하십시오. 무언가 잘못되면 프로젝트의 재앙으로 이어질 수 있습니다.
어떻게 스트레스를 낮출 수 있습니까? 백업? 단위 테스트 (통합 테스트)?
사용자에게 부담을주기 때문에이 솔루션이 마음에 들지 않습니다. 그것은 다음 메시지를 사용자에게 전달합니다. 우리는 당신에게 나쁜 시스템을 제공하고 있다는 것을 깨달았습니다. 그래서 우리는 지금 그것을 고치고 있습니다. 우리는 당신을 귀찮게하고 전자 메일과 암호로 시간을 낭비 할 권리가 있다고 생각합니다. 요청 - 귀하가 행동하지 않으면 우리의 잘못으로 인해 귀하의 계정에 액세스 할 수 없게됩니다. ' – pts
사용자가 비밀번호를 업데이트해야한다는 사실을 제외하고는 아무 것도 알 필요가 없다고 생각합니다. 그것은 IMO를하는 것이 좋습니다. 또한 이전 패스워드는 폭탄을 터뜨린 폭탄입니다. – dirkgently
나는 그들이 그들의 계좌를 잃을 것이라고 말하지 않았다. 내가 지정한 모든 것은 시스템이 일정 기간 후에 암호 변경을 부과하는 것입니다. 나는 상당수의 금융 사이트에서이 작업을 수행하는 것을 보았습니다. 매주 'x'주가 지나면 비밀번호를 변경하는 경우 매우 특별합니다. – dirkgently