専門家ではない、または失礼なことなく、パスワードへのアクセスを顧客に与えることを拒否する方法は？

8

あなたが顧客のためのウェブサイトを作成しているとしましょう。このWebサイトには独自の登録があります（OpenIDと組み合わせるかどうか）。ユーザーは、ユーザーがおそらくすべてのWebサイトで同じパスワードを使用していることを前提として、ユーザーが選択しているパスワードを確認できるようにするように求めています。

一般的に言って、

パスワードはプレーンテキストではなくハッシュ化されているため、パスワードを取得することは不可能です。
または、私がそれを行う権利がないこと、または管理者が追加の詳細情報を提供せずにユーザーのパスワードを表示できないようにする必要があること。

最初のものは誤りです：パスワードがハッシュされていても、ログオンごとにパスワードをキャッチして保存することが可能です（たとえば、ログオンに成功または失敗したユーザーだけでなく、パスワード）。二つ目は失礼です。

専門家でも失礼でもないで、この要求を拒否する方法は？

security customer-relations passwords

— アルセニ・モウゼンコ
ソース

24

私はここで困惑しています...彼らはユーザーのパスワードへのアクセスを求め、複数のサイトでパスワードを使用する可能性が高いことがわかっているので理由を述べましたか？私はどのように対応すればいいのかさえわからない...彼らは専門家ではないだけでなく、ここでは詐欺/個人情報の盗難について話している...

— Max

2

彼らは自分のパスワードを求めていますか？そうでない場合は、時間がかかることを伝え、適切な当局に通知します。所属しているセクターによっては、異なる法律がここで適用される場合があります。私が知っている最も厳しいものは、あなたに「顧客」に知らせずに関係当局に報告することを要求します。

— Apoorv Khurasia

1

SFでこの議論を読むことに興味があるかもしれません：serverfault.com/questions/293217/…（セキュリティ監査人からのパスワードのリクエストについて）

— gnat

11

彼に最初の部分を教えてください。パスワードをハッシュに保存していること。そして、すべてのパスワードシステムはこのように機能します。管理者はパスワードを変更したり、パスワードをリセットしたりできますが、パスワードを読み取ることはできません。プログラミングに精通している顧客は、ハッシュの前にパスワードを傍受できることを知っているかもしれません。

次に、2番目の部分に進みます。サイトにはプライバシーポリシーまたは利用規約がありますか。サイトを使用してパスワードを収集することは、これらのポリシーのほとんどに違反します。顧客がこの情報の収集を強く望んでいる場合は、コミュニティがサイトを信頼できない場合、サイトが役に立たなくなり、ゴーストタウンになることを説明します。

彼らの意図がパスワードを盗むことであることが明らかになった場合。実行します。新しい仕事や新しい契約を見つけます。この契約に基づいて会社で働いている場合は、知っていることを伝えてください。

— mhoran_psprep
ソース

質問自体で指摘したように、あなたが働いているセクター（銀行など）によっては、政策ギャップを規制当局（FEDなど）に知らせないと、刑事責任を問われることになります。多くのセクターには同様の法律があります（それほど厳しくはないかもしれません）。したがって、実行して新しい求人のアドバイスを見つけることは、結局それほど良くないかもしれません。

— Apoorv Khurasia

この法律へのリンクを提供してもらえますか？それは多くの内部告発を思いとどまらせるようです。

— エリックレッペン

@ErikReppen：内部告発を行わないことに対して刑事責任を問われるのはなぜでしょうか？

— Brian

私がモンスタートラックを（コメントで）正しく理解していれば、当局に連絡していることを顧客に伝える責任があるからです。しかし、それが彼らが要求をしたときにあなたが彼らに最初に言ったとしたらどうでしょうか？また、プロキシを介したエントラップメントの音も鳴ります。誰かが彼らに警告し、犯罪行為を止めさせ、連邦政府があなたにそうさせないようにしようとしているなら、連邦政府自身が法律を破るように勧めているのとどう違うのですか？彼らが望むように物事を正確に行っていないために内部告発者に影響を与えることは愚かです。

— エリック・レッペン、2012年

3

ウェブサイトには「プライバシーステートメント」がありますか？そして、その声明には「機密情報」の配布についての何かが含まれていますか？

その場合、私はおそらく「ユーザーの機密情報を自由に配布することはできません。それは私たち自身のプライバシーに関する声明に明らかに違反しています！」（ここでの感嘆符は重要です）。プライバシーに関する声明がない場合は、最後の文を除いて同じことを言います。

そのような質問をする人は、技術的に不可能であるなどの誤った言い訳を与えられるべきではありません。ユーザーのパスワードは秘密にされており、システムからパスワードを収集することは道徳的および倫理的に間違っている（そして誰かが述べたようにおそらく違法でもある）。

— ピート
ソース

+1は、誤った言い訳を渡さないことです。モーロンが関与している違法/非倫理的な追跡にまっすぐにカットする方が良い。

— エリックレッペン

2

刑務所での生活を実験したくないと言ってください:)あなたが彼らがあなたに尋ねるのを知っているので、それがユーザーのパスワードの違法な使用のためであるならば、彼らを多くの大きな問題に導くでしょう。私は、そのようなことをすることが本当に悪いのはなぜかを彼らに教えることを試みることが最善の方法だと思います。

しかし、本当の問題は、あなたが泥棒を嫌いながら泥棒のために働くという事実です。嫌いな人に失礼にならないようにする方法を見つけるのではなく、彼らのために仕事をやめたほうがいいのではないでしょうか。このような状況を回避するために、将来の契約で準備ができていないことについていくつかの条項を追加することをお勧めします。

とにかく、あなたが彼らにあなたがするように頼むことをする準備ができていないという事実はそれが違法なあなたに名誉を与えるからです。

— リビクトリーノ
ソース

1

もちろん、あなたは素敵になりたいのですが、この要求が異常な要求であり、より高い当局からの承認が必要であることを示すことができます。この行為が組織とユーザーに与える影響を説明するとよいでしょう。これは、あなたと顧客が状況を完全に理解していることを確認するためです。もちろん、書面ですべてを守らなければなりません。

ポリシーステートメントで状況を表現し、システムの主要な利害関係者/マネージャーにポリシーの承認または拒否を依頼し、それを要求への応答のバックアップドキュメントとして使用できます。また、パスワードが秘密ではないという事実がユーザーに通知されるという事実をそれに追加することもできます。

それはすべて政策の母であり、それ以上でもそれ以下でもありません。

— チャンスは無い
ソース

2

顧客がパスワードを盗んだことを明確に望んでいるため、これは単なるポリシーの問題ではありません。そのようなことの共犯者になるように開発者に依頼することはできません。これについて警察に連絡するのは難しく、MainMaが失礼にならないようにするのはおそらく難しいでしょうが、彼はポリシーやスタックホルダーが何を言っても従うことができません。

— DenysSéguret12年

@dystroy、まあ、私たちはこの情報を求めている人の役割がわかりません。法律がある限り、合法です。私たちは殺害すら法律で正当化できる世界にいます。

— NoChance

0

確かにハッシュ化されたパスワードのみを保存しているので、不可能です。そうでなければ、より大きな問題があります。これが正しい応答です。

— クレイグ
ソース

1

ただし、パスワードがハッシュされる前に機会があります。ブラウザーはパスワードをプレーンテキストでサーバーに送信し、サーバー側のコード（MainMaが担当）はそれをプレーンテキストで受信します。

— user16764

0

まず一方向に暗号化されていると言ってから、（担当者からの）書面による（書面による）要求の要求に進み、それを警察/ FBI（または同等の国の同等物）に提示できるようにします必要に応じてrelevent）/ etc。それを両方向のメールのコピーに貼り付ければ、ボールは彼らの法廷に置かれます。これを要求している会社は見当たらないので、それはおそらく個人であり、彼らはおそらく要求を拒否するでしょう。

もし彼らが私に書類を与えるなら、それは彼らのデータ、彼らの要求であり、彼らが彼ら自身のプライバシーポリシーや法律を破るならば、それは彼らの頭です。

— ウルフ5370
ソース