Borrar contraseñas de texto

3

Recientemente descubrí que la organización X está almacenando los nombres de usuario de las aplicaciones web y las contraseñas de texto sin cifrar en hojas de Excel en su almacén de archivos de red interna.

Estos no se utilizan para la autenticación.

He intentado argumentar que las hojas deben estar encriptadas / deben tener algún mecanismo de contraseña.

La respuesta definitiva, parece ser: si alguien ha tenido acceso para leer la hoja de Excel, entonces ya tienen un acceso tan amplio, las contraseñas son el menor problema.

También he sugerido construir una segunda red y mover los datos más cruciales hacia ellos, con acceso muy limitado. Hubo preocupación con respecto a la sobrecarga de administración de esto.

No sé dónde ni cómo proceder en la discusión. Por favor ayuda?

    
pregunta Jonno 04.11.2016 - 22:05
fuente

1 respuesta

6

Las contraseñas de texto claro en sí mismas no son un problema. El problema es con los arriesgados asociados con esos datos. ¿Cuál es el impacto para los usuarios y cuál es el impacto para la empresa si estos datos se filtran, divulgan, pierden o corrompen? ¿Qué pasaría si se publicara que esta información estaba clara, como usted describe?

Si no hay riesgos, entonces no tiene sentido implementar controles costosos a su alrededor.

Si hay riesgos, entonces los controles deben escalarse con esos riesgos.

Sé que es fácil de decir, "¡Dios mío! ¿Desea borrar las contraseñas de texto de una aplicación web en 2016? ¿Qué tipo de compañía es esta? Hay numerosas bibliotecas a las que los desarrolladores podrían haber llamado para encargarse de esto desde ¡el principio!" Sé que lo hice cuando leí tu post.

Pero en este punto, los cambios en el entorno deben tener sentido en términos de los riesgos involucrados. Su trabajo es no presentar el argumento técnico o de seguridad más convincente (si uno de esos argumentos hubiera funcionado, entonces el problema no existiría). En su lugar, su trabajo es cuantificar los riesgos para la empresa y proponer un control adecuado a esos riesgos para mitigarlos. Así es como procedes.

Si los riesgos son altos y costosos y aún no están interesados, pregúnteles si su seguro contra incendios está pagado. Las pequeñas inversiones pueden evitar pérdidas masivas, al igual que los seguros.

Si aún no puede hacer que ellos se encarguen de esto, entonces se queda con la desafortunada pero válida situación de dejar esta decisión comercial en manos de la empresa. Ellos corren los riesgos. Usted les dio la información necesaria para gestionar esos riesgos de manera adecuada. No hay mucho más que puedas hacer.

Pero antes de llegar a la etapa fatalista, obtenga una buena discusión sobre los riesgos y cómo puede ayudarlos a limitar la exposición de la empresa.

    
respondido por el schroeder 04.11.2016 - 23:39
fuente

Lea otras preguntas en las etiquetas