1、虽然IT内控要求账号密码不能明文存放,但实际生产中没有技术手段事前确保。
2、目前只能通过事后检查的方式,难免出现漏网之鱼,这是重点关注的安全风险之一。
3、由于应用账号不是个人使用账号,往往无法再账号密码失效前按要求更新,导致应用出错之后才事后处理。
4、需要人工去修改密码,由人工再去修改应用所使用的账号密码(或是直接再数据库连接池修改配置,或是修改配置文件)。
5、这中间存在人为干预带来的安全风险、操作失误风险(一个账号多个应用使用,但只修改了其中一个应用,漏了其它应用)等;
6、各项目组对账号密码的非明文处理方式和水平各不相同;不便于统一管理,后续维护成本增加、维护效率低下;
7、无法对程序用和维护人员用账号和密码采取不同策略;无法对账号和密码进行应用系统级别的识别和认证。
