Tôi đang có bất đồng với ai đó (khách hàng) về quy trình xác thực / xác thực người dùng cho một hệ thống. Điểm chung của nó là họ muốn mỗi người dùng có một mật khẩu duy nhất trên toàn cầu (nghĩa là không có hai người dùng nào có thể có cùng một mật khẩu). Tôi đã đưa ra tất cả các lập luận rõ ràng chống lại điều này (đó là một lỗ hổng bảo mật, nó nhầm lẫn giữa nhận dạng với xác thực, nó là vô nghĩa, v.v.) nhưng họ khẳng định rằng không có gì sai với phương pháp này.
Tôi đã thực hiện nhiều tìm kiếm khác nhau trên google để tìm kiếm ý kiến có thẩm quyền (hoặc bán độc quyền hoặc thậm chí chỉ độc lập) về vấn đề này, nhưng không thể tìm thấy bất kỳ (chủ yếu chỉ là một trò giả mạo rõ ràng mà nó dường như không đáng để cảnh báo, như xa như tôi có thể nói). Bất cứ ai có thể chỉ cho tôi về bất kỳ ý kiến độc lập như vậy, xin vui lòng?
[EDIT]
Cảm ơn tất cả các câu trả lời của bạn, nhưng tôi đã hiểu các vấn đề với cách tiếp cận / yêu cầu được đề xuất này và thậm chí có thể giải thích chúng cho khách hàng, nhưng khách hàng không chấp nhận chúng, do đó tôi yêu cầu các nguồn độc lập và / hoặc có thẩm quyền .
Tôi cũng đã tìm thấy bài báo WTF hàng ngày, nhưng nó gặp phải vấn đề mà Jon Hopkins đã chỉ ra - rằng đây là một WTF rõ ràng đến mức nó dường như không đáng để giải thích tại sao .
Và vâng, mật khẩu sẽ được muối và băm. Trong trường hợp tính duy nhất toàn cầu có thể khó đảm bảo, nhưng điều đó không giải quyết được vấn đề của tôi - điều đó chỉ có nghĩa là tôi có một yêu cầu là khách hàng sẽ không nhúc nhích, điều đó không chỉ gây khó chịu mà còn khó khăn triển khai thực hiện. Và nếu tôi ở vào vị trí để nói "Tôi không nhúc nhích muối và băm", thì tôi sẽ ở vị trí để nói "Tôi không thực hiện mật khẩu duy nhất trên toàn cầu".
Bất kỳ con trỏ nào đến các nguồn độc lập và / hoặc có thẩm quyền về lý do tại sao đây là một ý tưởng tồi vẫn nhận được một cách biết ơn ...
[/ EDIT]