Saya memiliki ketidaksepakatan dengan seseorang (klien) tentang proses identifikasi / otentikasi pengguna untuk suatu sistem. Inti dari itu adalah bahwa mereka ingin setiap pengguna memiliki kata sandi unik global (yaitu tidak ada dua pengguna yang dapat memiliki kata sandi yang sama). Saya telah mencabut semua argumen yang jelas menentang ini (ini adalah kerentanan keamanan, ini membingungkan identifikasi dengan otentikasi, tidak ada gunanya, dll.) Tetapi mereka bersikeras bahwa tidak ada yang salah dengan pendekatan ini.
Saya telah melakukan berbagai pencarian google untuk mencari pendapat otoritatif (atau semi-otoritatif, atau bahkan hanya independen) tentang hal ini, tetapi tidak dapat menemukan (terutama itu hanya kecerobohan yang jelas sehingga sepertinya tidak layak diperingatkan, karena Sejauh yang saya tahu). Adakah yang bisa mengarahkan saya ke pendapat independen semacam itu?
[EDIT]
Terima kasih atas semua jawaban Anda, tetapi saya sudah memahami masalah dengan pendekatan / persyaratan yang diusulkan ini, dan bahkan dapat menjelaskannya kepada klien, tetapi klien tidak akan menerimanya, maka permintaan saya untuk sumber independen dan / atau otoritatif .
Saya juga menemukan artikel Daily WTF, tetapi menderita masalah yang ditunjukkan oleh Jon Hopkins - bahwa ini adalah WTF yang terbukti dengan sendirinya sehingga sepertinya tidak layak untuk menjelaskan alasannya .
Dan ya, kata sandi akan menjadi asin dan hash. Dalam hal mana keunikan global mungkin sulit untuk dipastikan, tetapi itu tidak menyelesaikan masalah saya - itu hanya berarti bahwa saya memiliki persyaratan bahwa klien tidak mau mengalah, itu tidak hanya keliru, tetapi juga sulit untuk dipastikan. melaksanakan. Dan jika saya berada dalam posisi untuk mengatakan "Saya tidak mengindahkan salting dan hashing", maka saya akan berada dalam posisi untuk mengatakan "Saya tidak menerapkan kata sandi yang unik secara global".
Setiap petunjuk ke sumber independen dan / atau otoritatif mengapa ini adalah ide yang buruk masih diterima dengan penuh syukur ...
[/ EDIT]