7
引用不建议使用全球唯一密码
我与某人(客户)在系统的用户标识/认证过程上存在分歧。麻烦之处在于,他们希望每个用户都拥有一个全局唯一的密码(即,没有两个用户可以使用相同的密码)。我已经提出了反对这种情况的所有显而易见的论点(这是一个安全漏洞,它使身份验证与身份认证混淆,这毫无意义,等等),但他们坚持认为这种方法没有什么不妥。 我已经进行了各种Google搜索,以寻求关于此的权威(或半权威,甚至只是独立的)观点,但找不到任何(主要是明显的虚假行为,因此似乎不值得警告)据我所知)。有人能指出我这种独立意见吗? [编辑] 谢谢您的所有回答,但我已经理解了此建议方法/要求的问题,甚至可以向客户解释这些问题,但客户不会接受,因此,我要求提供独立和/或权威的消息来源。 我也找到了Daily WTF文章,但是它遇到了Jon Hopkins指出的问题-这是不言而喻的WTF,似乎不值得解释为什么。 是的,密码将被添加和散列。在这种情况下,可能很难确保全局唯一性,但这不能解决我的问题-这仅意味着我要求客户不要让步,这不仅是不明智的建议,而且也很难实行。如果我可以说“我没有在盐和哈希上花钱”,那么我可以说“我没有实现全局唯一的密码”。 任何指针独立和/或权威来源,为什么这是一个糟糕的主意还是感激地接受... [/编辑]