Esiste una legislazione che richiede come archiviamo le password? [chiuso]

6

Data la recente violazione dei dati di Sony e altri eventi, esistono leggi o regolamenti effettivi su come archiviare le password? Penso che ci siano carte di credito, non ti è permesso di memorizzare la chiave a 3 cifre o qualcosa del genere.

È illegale archiviare effettivamente password in chiaro senza avvisare l'utente? O c'è un livello di crittografia che deve essere usato?

Ci sono delle linee guida standard a cui chiunque può indirizzarmi?

    
posta RoboShop 04.05.2011 - 02:22
fonte

3 risposte

9

Per quanto riguarda l'archiviazione dei dati delle carte di pagamento, ciò che stai cercando sembra essere chiamato Standard di sicurezza dei dati dell'industria delle carte di pagamento o PCI DSS.

Secondo Wikipedia :

The standard applies to all organisations that hold, process, or exchange cardholder information from any card branded with the logo of one of the card brands.

Purtroppo non conosco alcun regolamento per la memorizzazione delle password degli utenti. Ecco quello che ho sentito è una buona pratica, ma so che probabilmente non è applicata:

  1. Utilizza una libreria - non provare a scrivere codice crittografia / hashing di buona qualità
  2. Non memorizzare la password, memorizzare un hash ( bcrypt sembra essere buono a partire da questa data)
  3. Genera un "sale" univoco per ogni utente e concatena la password con il sale prima dell'hashing. Questo riduce il rischio di attacchi da tavolo arcobaleno.
  4. Non tenere le password in memoria più del necessario. Utilizza gli strumenti di framework come SecureString in .NET per aiutare a gestire la sicurezza delle password in testo semplice mentre sei in memoria.
  5. Non visualizzare le password sullo schermo (sia per evitare attacchi da spalla che da attacchi EMI)
  6. Non consentire alle password di passare attraverso le reti pubbliche in testo semplice (i protocolli FTP e Telnet sono infami per questo). Usa SSL / SSH / HTTPS per proteggere prima la tua connessione.
  7. Richiede password con una minima complessità. Non limitare la complessità!
risposta data 04.05.2011 - 02:27
fonte
3

Per qualcosa come un social network, o web-mail, o Stack Exchange - no, non ci sono standard di sicurezza legale di sorta. È possibile archiviare le password degli utenti su pezzi di carta incollati all'esterno della sede centrale dell'azienda e non violerebbe alcuna legge.

(Sto parlando solo degli Stati Uniti - potrebbe essere diverso in altri posti.)

    
risposta data 04.05.2011 - 07:21
fonte
0

L'unica regola di cui sono a conoscenza (ed è solo un regolamento del marchio della carta di credito per commercianti e fornitori di software) è che non è necessario memorizzare la password in database o file in forma non crittografata. Ad esempio, il nostro software è stato recentemente sottoposto alla certificazione PA-DSS 2.0 e abbiamo crittografato le password utilizzando la crittografia SHA-1 con un salt unico per ogni hash delle password. Inoltre, è necessario crittografare le password durante la trasmissione (ad esempio da Client a Server). Almeno negli Stati Uniti, il governo è rimasto fuori dai principali mandati di software come questo, a meno che non incida sui beni del governo come computer o software usati dai militari.

Per quanto riguarda la memorizzazione della chiave, ci sono regole speciali anche per questo. Tasto a 3 cifre? Troppo piccolo. Per ulteriori informazioni su come è possibile aderire allo standard PA-DSS 2.0, leggi qui: link

    
risposta data 04.05.2011 - 02:36
fonte

Leggi altre domande sui tag