시스템의 사용자 식별 / 인증 프로세스에 대해 누군가 (클라이언트)와 의견이 맞지 않습니다. 이것의 핵심은 각 사용자가 전역 적으로 고유 한 암호를 갖기를 원한다는 것입니다 (즉, 두 명의 사용자가 동일한 암호를 가질 수는 없음). 나는 이것에 대한 모든 명백한 주장을 제기했습니다 (보안 취약성, 인증과 식별을 혼동하고, 무의미한 것 등). 그러나 그들은이 접근법에 아무런 문제가 없다고 주장합니다.
나는 이것에 대한 권위있는 (또는 반 권위적이거나 독립적 인) 의견을 찾기 위해 다양한 Google 검색을 수행했지만 아무것도 찾을 수 없습니다 (주로 경고 할 가치가없는 명백한 가짜 pas입니다). 내가 알 수있는 한). 아무도 나에게 그런 독립적 인 의견을 지적 할 수 있습니까?
[편집]
귀하의 모든 답변에 감사드립니다. 그러나이 제안 된 접근 / 요구 사항의 문제점을 이미 이해하고 있으며 고객에게이를 설명 할 수도 있지만, 고객은이를 받아들이지 않을 것이므로 독립적이고 권위있는 출처에 대한 나의 요청 .
또한 Daily WTF 기사를 찾았지만 Jon Hopkins가 지적한 문제로 어려움을 겪습니다. 이것은 자명 한 WTF이므로 이유를 설명 할 가치가없는 것 같습니다 .
그리고 네, 암호는 소금에 절이고 해시됩니다. 어떤 경우에는 글로벌 고유성이 보장하기 어려울 수 있지만 이것이 문제를 해결하지는 못합니다. 이는 고객이 판단을하지 않아야한다는 요구 사항이 있음을 의미합니다. 도구. 그리고 내가 "염색과 해싱에 싹이 not 지 않는다"고 말할 수 있다면 "전 세계적으로 고유 한 암호를 구현하고 있지 않습니다"라고 말할 수있을 것입니다.
이것이 여전히 나쁜 생각 인 이유에 대한 독립적이고 권위있는 출처에 대한 조언 은 ...
[/ EDIT]