Estoy buscando una fuente autorizada para respaldar mi posición en un desacuerdo sobre la política de contraseñas.
Estoy teniendo un desacuerdo con un cliente sobre el proceso de identificación / autenticación de usuario para un sistema. El problema es que quieren que cada usuario tenga una contraseña única a nivel mundial (es decir, no hay dos usuarios que puedan tener la misma contraseña). He eliminado todos los argumentos obvios contra esto (es una vulnerabilidad de seguridad, confunde la identificación con la autenticación, no tiene sentido, etc.) pero insisten en que no hay nada de malo en este enfoque.
He hecho varias búsquedas en Google buscando opiniones autoritativas (o semi-autorizadas, o incluso independientes) sobre esto, pero no puedo encontrar ninguna (principalmente es tan obvio que no parece ser una advertencia). Contra, por lo que puedo decir). ¿Alguien puede indicarme una opinión independiente, por favor?
He encontrado un artículo diario de WTF , pero (aparte de ser demasiado cómico para ser autoritario), sufre del problema que mencioné anteriormente: la inconveniencia de este enfoque es tan evidente que no vale la pena explicar por qué.
Para aclarar, entiendo los problemas e incluso puedo explicárselos al cliente, pero el cliente es reacio a aceptarlos, de ahí mi solicitud de fuentes independientes y / o autorizadas.
Cualquier puntero a fuentes independientes y / o autorizadas que confirmen que esta es una mala idea recibida con gratitud ...