Odpowiedzialność programistów za hasła użytkowników.

Question

Cześć.

Czy ktoś z was wie może jaki jest cel w wymaganiu haseł typu "at least 8 letters, 1 uppercase, 2 special characters, 1,5 plums, 5 cups of sugar"? Dlaczego programiści biorą po części odpowiedzialność za to, czy hasło użytkownika będzie silne przynajmniej do jakiegoś stopnia?

Answer 1

Nie wiem czy to jest odpowiedzialność programisty, przeważnie on sam sobie tego nie wymyśla - dostaje takie coś jako wymaganie od klienta lub innej osoby, z którą klient dogadał szczegóły i tyle.

Comments

W takim bądź razie - jak myślisz, po co osoby które sobie tego życzą.. życzą sobie tego?

---

Bo nie wszyscy zdaja sobie sprawe z konsekwencji stosowania slabego hasla. A potem pretensje do administratora, ze serwis nie dba o bezpieczenstwo. Zwlaszcza w dobie RODO.

---

Też tak myślę. Teoretycznie wiele się mówi o tym, że trzeba mieć mocne i niesłownikowe hasła, aby nie powtarzać ich w różnych serwisach i takie tam rzeczy. Ale szary Kowalski nie zawsze (często) się tym przejmuje, stąd trzeba trochę podziałać za niego i pewne rzeczy uniemożliwić. No i też wspomniane RODO czy inne przepisy. Nie wiem na ile precyzyjne określają pewne rzeczy, jeśli nie określają to tym bardziej - zawsze można powiedzieć, że takim krokiem właśnie "dbamy o bezpieczeństwo" czy inne sloganowe hasełko.

Answer 2

Są też regulacje prawne, zwłaszcza jeśli chodzi o systemy do przetwarzania danych osobowych. Taki system, komputer musi być odpowiednio zabezpieczony, m.in. szyfrowanie dysku, trudne hasło i zmiana tego hasła co 30 dni, itp.

Dodatkowo firmy mają swoje polityki bezpieczeństwa i ustalają sobie zasady co i jak zabezpieczyć.

A programista czy też ogólnie informatyk musi wdrożyć te odgórne założenia.

Answer 3

W implementacjach poważniejszych systemów, obowiązują normy choćby z rodzin ISO 27000. Tam jest jasna wykładnia co do sposobu ustalania polityki haseł i obsługi aspektów bezpieczeństwa. Pierwsze z brzegu... http://iso27001security.com/html/27002.html Oczywiście na ISO temat tylko się zaczyna. Są także branżowe dla bankowości, obronności, systemów wbudowanych, awioniki...

Odpowiedzialność programisty kończy się na "masz to zaimplementować". To dostawca systemu/usługi bierze odpowiedzialność za zgodność z normami a klient spełnienia tych wymagań ... wymaga.