現在、職場でアプリケーションを継承していますが、残念なことに、データベースに保存されているユーザーパスワードは社内暗号化機能を使用して暗号化されており、暗号化解除機能も含まれています。
したがって、誰かが本当にする必要があるのは、ユーザーテーブルをコピーし、暗号化アセンブリ(データベースの実稼働アクセス権を持つユーザー)をコピーするだけです。そうすれば、100,000の電子メールアドレスと潜在的なパスワードにアクセスできます。
なぜこれが良いアイデアではないのかをビジネスに説明しようとしていますが、セキュリティの概念は技術的にあまり気になっていないので頭に浮かぶようです(政府向けです)。さらに、管理者ユーザーがユーザーのパスワードを取得してログインし、作業を行うために必要な機能を実行するための、アプリケーション内に実際に存在する機能があります。
そのため、彼らはセキュリティへの影響を理解していません。また、強力なセキュリティポリシー(パスワードを簡単に取得できないようにハッシュする)を実装するには、既存の機能を削除する必要があります。
私は何をすべきか?そもそもパスワードシステムを構築していなかったので、何か問題が発生しても非難できるわけではありません。一方、私はそれについて気分が悪く、また、100,000の潜在的な電子メールログオンにアクセスしたくありません。