Bir kullanıcının (istemci) bir sistem için kullanıcı tanımlama / kimlik doğrulama işlemi hakkında bir anlaşmazlık yaşıyorum. Önemli olan, her kullanıcının küresel olarak benzersiz bir parolaya sahip olmasını istemeleridir (yani hiçbir iki kullanıcının aynı parolaya sahip olmaması). Buna karşı tüm açık argümanları attım (bu bir güvenlik açığı, kimlik doğrulamayı kimlik doğrulaması ile karıştırıyor, anlamsız, vb.) Ama bu yaklaşımda yanlış bir şey olmadığı konusunda ısrar ediyorlar.
Bu konuda otoriter (veya yarı yetkili, hatta bağımsız) görüş arayan çeşitli google aramaları yaptım, ancak herhangi bir (bu özellikle karşı uyarı gibi görünmüyor gibi bariz bir sahte pas gibi) söyleyebildiğim kadarıyla). Birisi beni böyle bağımsız bir görüşe yönlendirebilir mi, lütfen?
[EDIT]
Tüm cevaplarınız için teşekkürler, ancak bu önerilen yaklaşım / gereksinimle ilgili sorunları zaten anlıyorum ve hatta bunları müşteriye açıklayabiliyorum, ancak müşteri onları kabul etmeyecek, dolayısıyla bağımsız ve / veya yetkili kaynaklar için isteğim .
Daily WTF makalesini de buldum, ancak Jon Hopkins'in işaret ettiği sorundan muzdarip - bunun açık bir WTF olduğunu ve nedenini açıklamaya değmeyecek gibi görünüyor .
Ve evet, şifreler tuzlanacak ve karıştırılacak. Bu durumda küresel benzersizliğin sağlanması zor olabilir, ancak bu sorunumu çözmez - sadece müşterinin üzerinde durmayacağı bir gereksinimim olduğu anlamına gelir, bu sadece kötü tavsiye edilmez, aynı zamanda zor uygulamak. Ve eğer "Tuzlama ve hash etme konusunda uzlaşmıyorum" diyebilecek bir konumda olsaydım, "Küresel olarak benzersiz şifreler uygulamıyorum" diyecek bir konumda olurdum.
Bunun neden hala kötü bir fikir olduğunu bağımsız ve / veya yetkili kaynaklara gösterenler ...
[/ EDIT]