Tenemos un sistema (por ejemplo, compras) donde hay múltiples puntos de acceso. Una es una aplicación de escritorio back-end a la que solo pueden acceder los empleados dentro de la LAN, la otra es una aplicación web accesible a través de Internet por parte de un subconjunto de empleados y clientes. Ambos requieren autenticación con un nombre de usuario y contraseña.
La aplicación web requiere una política de contraseña más estricta que la aplicación back-end, sin embargo, queremos permitir que los empleados accedan a ambos con al menos el mismo nombre de usuario (en el momento en que inician sesión como un usuario diferente).
¿Deberíamos exigir a los empleados que usen una contraseña diferente al iniciar sesión a través de la aplicación web? ¿O deberíamos usar la misma contraseña pero también exigir una política de contraseña más estricta para el subconjunto de empleados para la aplicación de back-end?