Gestione utenti da amministrazione

[jeck]

Salve, ho una richiesta particolare da un mio cliente, io la reputo strana, anche perchè è la prima volta che mi capita, vedendo lavori di altri esperti, e in tutti i cms che ho visto non viene fatto quello che mi chiede, vengo al sodo.

Ho sviluppato un software per un cliente che oltre a gestire tutte le pagine del portale gestisce anche gli utenti registrati al sito. Nella gestione degli utenti ho dato la possibilità di visualizzare i dati e di inserire nuovamente una password che l'utente si sceglie in fase di registrazione, ma il mio cliente mi ha chiesto che lui vuole vedere quale password ha scelto l'utente. Secondo voi è una cosa regolare e legale, oppure va contro ogni regola? C'è una legge che dice se la cosa è regolare oppure no?
Premetto che lui da admin può controllare tutto, comprese le operazioni che fa il cliente, può creare lui una password per l'utente, ma se viene cambiata dall'utente lui non può saperlo. Io ho fatto un hash della password, quindi per tutti gli utenti registrati fino a questo momento non vedrà mai la password, ma solo per quelli registrati in futuro.
Secondo voi ho fatto bene a fare l'hash della password, oppure dovevo lasciarla in chiaro nel db? L'host che lui ha scelto non ha installate le librerie m_crypt quindi non posso criptare la password e decriptare, infatti l'utente se non la ricorda, può solo generare una nuova password che poi si andrà a cambiare.
Fatemi sapere che ne pensate, e se quello che mi chiede va contro ogni regola e mi conviene far firmare una liberatoria di responsabilità

[jeck]

Nessuno che ha consigli a riguardo?

[goikiu]

guarda, io ho sempre evitato di far leggere la password, concedo di farla reimpostare, ma anche per i "gestionali" interni di un'azienda mi pare ci sia una legge che vieta a chi non sia l'utente di conoscere con precisione la password. Magari sbaglio in merito, ma trovo che il cliente non abbia bisogno e possibilità legali di sapere la password.

[jeck]

Originariamente inviato da goikiu
guarda, io ho sempre evitato di far leggere la password, concedo di farla reimpostare, ma anche per i "gestionali" interni di un'azienda mi pare ci sia una legge che vieta a chi non sia l'utente di conoscere con precisione la password. Magari sbaglio in merito, ma trovo che il cliente non abbia bisogno e possibilità legali di sapere la password.

Grazie per l'info, lo penso anche io, comunque se c'è qualcuno che ha da postare un link sulla legge (se esiste) ben venga.
Non capisco questo sua accanimento alla conoscenza della password, visto che può sapere tutte le operazioni che fa l'utente, e reimpostare tutti i dati, compresa la password. Comunque mi farò firmare qualcosa che mi declina da ogni responsabilità.

[artorius]

Ciao jeck, stavo leggendo la discussione ed ho pensato di dire la mia.

Ora, io non credo che ci sia una LEGGE per la gestione di queste cose, c'è la legge sulla privacy che indica espressamente che i dati personali degli utenti non possono essere letti da NESSUNO (neanche amministratore) se non dietro consenso degli utenti. (per questo motivo, quando si registrano gli utenti di solito devono o spuntare una checkbox di conferma o hanno di fianco al bottone una scritta tipo "Premendo il bottone 'Registrati' accetti la normativa sul trattamento dei dati personali".
Dopo aver accettato la normativa, che comunque dice "I dati sono salvati sul server e l'azienda si impegna a non renderli pubblici", mi sembra; l'amministratore può, a tutti gli effetti, accedere ad ogni dato salvato sul server, password comprese.

Il motivo per il quale non si permette di conoscere le password, o meglio o motivi, sono altri:

1- In un sistema di User Management solitamente le password non sono salvate in chiaro nel DB, perché se qualcuno accede al DB o ad un Backup dello stesso (tipo Dump di MySQL), potrebbe leggere le password di tutti. Per questo motivo le password vengono salvate in forma di HASH (MD5, SHA, etc) e, proprio per sua natura, un hash non può essere rivelato. Quindi non è possibile "leggere" la password di un utente.

2- Se un amministratore "Standard" (mi riferisco ai classici utonti che gestiscono sistemi dei quali non capiscono nulla) "perde" la password ("L'avevo attaccata con l'username ed il link al quale accedere al monitor in un area di libero accesso dell'edificio ed ora non c'è più" fidatevi, c'è gente così...) mettendo a rischio i dati personali degli utenti, sarebbe peggio se potesse avere anche i loro dati di accesso. Mi spiego meglio, se un utente affida i dati ad un server e quello viene bucato, amen, mazzata sulle dita di chi ha fatto casino, comunque non è la fine del mondo (a meno che anche dati tipo carta di credito vengono visti), ma se con i dati dell'utente vengono presi anche i accesso che permettono, che so, di caricare immagini in un'area pubblica di un sito internet, e quell'area pubblica viene saturata di immagini ${donnine assai poco vestite}, molte cose brutte cominciano ad accadere: denuncia verso l'utente, denuncia verso il provider, denuncia verso l'amministratore.

Potreste dire "se cambia la password, i dati di accesso li ha comunque", ma è una cosa diversa: se la password è stata cambiata dall'amministratore e non dall'utente (cosa che si dovrebbe vedere da dei log), e la nuova password non viene comunicata, l'utente perde automaticamente ogni responsabilità sul proprio account.

Spero di averti dato un buon argomento per controbattere col tuo cliente (che lo so io che significa dover guerreggiare con richieste assurde...)

[jeck]

Ciao, grazie per la risposta, infatti il mio metodo di programmazione ha previsto di inserire le password nel db con md5 per evitare proprio un attacco di hacker e prendere tutti gli accessi, comunque cercherò di convincere il cliente che la sua scelta è sbagliata, e farò in modo di far solo resettare la password e rispedire all'utente, mi sembra la cosa migliore.

[alcio74]

Quoto in pieno il post di artorius e mi permetto di darti un piccolo consiglio.

Per la crittazione delle password di consiglio un doppio hashing: o doppio MD5 oppure un MD5 in concomitanza con SHA1.
L'hash della password generata è sicuramente ancora meno attaccabile nel caso un "simpaticone" riesca a sgamarne qualcuno!

[jeck]

Originariamente inviato da alcio74
Quoto in pieno il post di artorius e mi permetto di darti un piccolo consiglio.

Per la crittazione delle password di consiglio un doppio hashing: o doppio MD5 oppure un MD5 in concomitanza con SHA1.
L'hash della password generata è sicuramente ancora meno attaccabile nel caso un "simpaticone" riesca a sgamarne qualcuno!

Ok, grazie mille per l'info.