我需要在我们托管的站点上删除对弱服务器的支持。这是一个高度安全的网站,客户数据极其敏感,我们的客户和审计员要求我们放弃对弱密码的支持。
我面临的挑战是,我不知道建议客户进行此更改的最佳方法。他们不需要放弃对弱密码的支持,因为他们可能需要连接到其他站点,但他们确实需要确保可以支持强密码。我们知道,有一小部分客户仍在使用弱密码与我们协商 TLS。
那么密码只能在操作系统级别配置吗?所有 TLS/密码逻辑是否都由操作系统专门管理?或者,自定义应用程序(包括浏览器)是否可以包含自己的 TLS/密码逻辑,绕过操作系统配置,甚至使用操作系统上未安装的密码?我看过一些关于在 Chrome 中更改密码的讨论,但我找不到任何关于其工作原理或如何与操作系统密码配置交互的权威声明。
感谢您的任何想法!
假设这些客户作为客户端/服务器连接中的客户端连接到您的站点,您不应该建议您的客户在他们的系统上删除对弱密码/密码套件的支持,因为这与他们连接到您的站点无关。您不知道它们连接到的其他哪些系统、应用程序或站点(不幸的是)可能仍然依赖于那些弱密码/密码套件。
全面声明从系统中删除弱密码/密码套件肯定会给他们带来问题,而您将无法解决这些问题。
如果您在网站上删除对弱密码/密码套件的支持后他们无法连接到您的网站,您可以建议他们进行所需的任何更改以允许他们连接到您的网站,但建议他们删除支持IMO,对于他们系统上的弱密码/密码套件来说不是一个好主意。
因此,请向他们发送一条通信,告知他们您对站点所做的更改以及他们的系统在连接到您的站点时需要支持和使用哪些密码/密码套件,但不要告诉他们删除弱密码/密码套件来自他们的系统。
| 归档时间: |
|
| 查看次数: |
99 次 |
| 最近记录: |