Hey, wist niet zo 123 waar ik dit kon posten dus ik hoopte het hier in de juiste categorie te hebben.
Ik werk voor een bedrijf dat o.a. WordPress sites maakt/beheert voor opdrachtgevers.
Nu is het zo dat er enige tijd geleden een account is geweest op 1 van de sites die een zwak wachtwoord had, en deze is gebruteforced.
Alles wat hieruit is ontstaan is direct verholpen, maar nu willen zowel mijn baas als de opdrachtgever een volledig overzicht van alle gebruikers, van alle sites, met daarbij alle wachtwoorden.
Wij gebruiken hier intern een passwordmanager met daarin alle accounts/wachtwoorden die wij zelf gebruiken.
Aangezien het voor mij vanuit een developersperspectief niet veilig/praktisch leek om (WordPress) klantenaccounts op te slaan in onze passwordmanager, heb ik altijd simpelweg de klanten;
A: een gegenereerd wachtwoord toegestuurd, vervolgens mail verwijderd.
B: een herstellink gestuurd met hierin de mogelijkheid voor de klant zelf om het wachtwoord aan te passen/genereren.
Omdat ik op deze manier werk heb ik dus geen plaintext overzicht met daarin alle wachtwoorden, per gebruiker, per site.
Dit kan ik dus ook niet aanleveren aan baas/klant.
Leek voor mij heel logisch om op deze manier enkel gehashte wachtwoorden op te slaan, mocht een klant het wachtwoord zijn vergeten is het namelijk net zo eenvoudig om ze een nieuw wachtwoord te laten genereren/invullen.
Echter ben ik nu hierdoor in de problemen gekomen en moet ik de klant precies uitleggen waarom ik op deze manier gewerkt heb, en waarom ik geen overzicht voor ze kan maken. Maar m'n baas zegt dus dat dit onverklaarbaar is.
Nu moet ik een mail opstellen waarin ik haarfijn uit moet leggen waarom ik dit niet aan kan leveren.
Zijn er hier toevallig mensen die hier wat meer over weten, zit ik inderdaad fout en moet ik de schuld hier op me nemen of zijn er regelgevingen waardoor ik juist op de juiste/veiligste manier gewerkt heb?
Hoor graag of iemand me kan helpen, zit nogal in de problemen hiermee en zou enorm helpen als er securitygoeroes zijn die me wat in de juiste richting kunnen helpen wat betreft m'n verklaring aan de klant.
Ik werk voor een bedrijf dat o.a. WordPress sites maakt/beheert voor opdrachtgevers.
Nu is het zo dat er enige tijd geleden een account is geweest op 1 van de sites die een zwak wachtwoord had, en deze is gebruteforced.
Alles wat hieruit is ontstaan is direct verholpen, maar nu willen zowel mijn baas als de opdrachtgever een volledig overzicht van alle gebruikers, van alle sites, met daarbij alle wachtwoorden.
Wij gebruiken hier intern een passwordmanager met daarin alle accounts/wachtwoorden die wij zelf gebruiken.
Aangezien het voor mij vanuit een developersperspectief niet veilig/praktisch leek om (WordPress) klantenaccounts op te slaan in onze passwordmanager, heb ik altijd simpelweg de klanten;
A: een gegenereerd wachtwoord toegestuurd, vervolgens mail verwijderd.
B: een herstellink gestuurd met hierin de mogelijkheid voor de klant zelf om het wachtwoord aan te passen/genereren.
Omdat ik op deze manier werk heb ik dus geen plaintext overzicht met daarin alle wachtwoorden, per gebruiker, per site.
Dit kan ik dus ook niet aanleveren aan baas/klant.
Leek voor mij heel logisch om op deze manier enkel gehashte wachtwoorden op te slaan, mocht een klant het wachtwoord zijn vergeten is het namelijk net zo eenvoudig om ze een nieuw wachtwoord te laten genereren/invullen.
Echter ben ik nu hierdoor in de problemen gekomen en moet ik de klant precies uitleggen waarom ik op deze manier gewerkt heb, en waarom ik geen overzicht voor ze kan maken. Maar m'n baas zegt dus dat dit onverklaarbaar is.
Nu moet ik een mail opstellen waarin ik haarfijn uit moet leggen waarom ik dit niet aan kan leveren.
Zijn er hier toevallig mensen die hier wat meer over weten, zit ik inderdaad fout en moet ik de schuld hier op me nemen of zijn er regelgevingen waardoor ik juist op de juiste/veiligste manier gewerkt heb?
Hoor graag of iemand me kan helpen, zit nogal in de problemen hiermee en zou enorm helpen als er securitygoeroes zijn die me wat in de juiste richting kunnen helpen wat betreft m'n verklaring aan de klant.
/u/38159/DirkJan.png?f=community)
/u/28468/librarian2.png?f=community)
/u/13585/crop66dc35d57b464_cropped.png?f=community)
):strip_icc():strip_exif()/u/489296/avatar.jpg?f=community){kind=avatar}
