我需要取消对我们托管的站点上弱密码服务器的支持。这是一个高度安全的网站,客户数据极其敏感,我们的客户和审计员要求我们放弃对弱密码的支持。
我的挑战是,我不知道如何最好地建议客户做出这一改变。他们不需要放弃对弱密码的支持,因为他们可能需要连接到其他网站,但他们确实需要确保他们可以支持强密码。我们知道,有一小部分客户仍然使用弱密码与我们协商 TLS。
那么密码是否仅在操作系统级别配置?所有 TLS/密码逻辑是否都由操作系统独家管理?或者,自定义应用程序(包括浏览器)是否可以包含自己的 TLS/密码逻辑,以绕过操作系统配置,甚至使用操作系统上甚至未安装的密码?我见过一些关于在 Chrome 中更改密码的讨论,但我找不到任何关于其工作原理或如何与操作系统密码配置交互的权威声明。
感谢您的任何想法!
答案1
假设这些客户以客户端/服务器连接中的客户端身份连接到您的网站,您不应该建议您的客户在他们的系统上删除对弱密码/密码套件的支持,因为这与他们连接到您的网站无关。您不知道他们连接到的其他系统、应用程序或网站(遗憾的是)可能仍然依赖这些弱密码/密码套件。
全面宣布从他们的系统中删除弱密码/密码套件肯定会给他们带来问题,而你却无法解决。
如果在您从您的网站上删除对弱密码/密码套件的支持后他们仍然无法连接到您的网站,您可以建议他们在他们那边进行任何必要的更改以允许他们连接到您的网站,但建议他们从他们的系统上删除对弱密码/密码套件的支持并不是一个好主意,在我看来。
因此,向他们发送一份通讯,告知他们您对网站所做的更改以及他们的系统在连接到您的网站时需要支持和使用哪些密码/密码套件,但不要告诉他们从他们的系统中删除弱密码/密码套件。