C'è qualche motivo legale per salvare una password in chiaro?

L'unico caso in cui posso pensare alla FCC che richiede che una password sia chiara è legata alla radio amatoriale, e anche questo non è vero.

In sei anni in una società di revisione e in tutto ciò che ho letto, inclusi molti briefing di corte, non ho mai sentito nulla che suggerisca che tale pazzia sia effettivamente giustificata ovunque.

Non è raro che i CSR facciano un po 'di ingegneria sociale. Il loro lavoro è spesso molto più facile se dicono che è richiesto da qualcosa al di fuori della loro azienda.

La BBC ha un articolo su grandi aziende che sfidano il governo francese su una nuova legge che impone loro di passare password per le forze dell'ordine su richiesta.

In seguito il governo ha affermato che è sufficiente fornire altre credenziali che consentano l'accesso all'account in questione. (Siamo spiacenti, non riesco a trovare una fonte inglese per questo ora, senza spendere più tempo su di esso).

È normale che i provider di servizi internet memorizzino le password in chiaro come ho spiegato in questa risposta per i motivi tecnici dei vecchi protocolli supportati.

Non lo so. Confesso che la mia prima ipotesi sarebbe un baloon o un fraintendimento della legge.

Secondo la mia esperienza, non è raro che aziende con politiche stupide attribuiscano la colpa a quelle politiche sulla sicurezza o sul governo federale. A volte le persone agiscono in buona fede e sono semplicemente confuse su ciò che la legge effettivamente o la sicurezza richiede realmente. A volte è una scusa calcolata per far chiudere i clienti e deviare i reclami.

(Puoi persino vederlo su aeroplani, dove gli assistenti di volo ti diranno di fare ogni sorta di cose in nome della sicurezza (ad esempio, "per sicurezza, usa solo il bagno nella cabina dei tuoi biglietti"), quando c'è in realtà nessun regolamento governativo o giustificazione ragionevole della sicurezza che lo richieda.)

Naturalmente, potrebbe esserci qualche regolamento stupido che richiede questo, ma sono piuttosto scettico.

Cercherò di ottenere una citazione per la legge o il regolamento specifico (non solo "ha a che fare con CPNI"). Potresti anche provare a chiedere il nome dell'agenzia governativa che rivendicano tali regolamenti, quindi chiama quell'agenzia per chiedere loro di punto in bianco se è qualcosa che richiedono e chiedi loro una citazione e una copia del regolamento. Nella mia esperienza, se sono in grado di osservare il regolamento attuale, non è insolito scoprire che in realtà non richiede ciò che la gente pensa o dice di fare.

Non sono qualificato per offrire consulenza legale. Se hai bisogno di assistenza legale, consulta un medico appropriato.

Interpretazione di EPIC di 222. La privacy delle informazioni sui clienti sembra indicare che una password non fa parte delle informazioni di rete proprietarie del cliente (CPNI).

(h)

(1) The term “customer proprietary network information” means—

(A) information that relates to the quantity, technical configuration, type, destination, location, and amount of use of a telecommunications service subscribed to by any customer of a telecommunications carrier, and that is made available to the carrier by the customer solely by virtue of the carrier-customer relationship; and

(B) information contained in the bills pertaining to telephone exchange service or telephone toll service received by a customer of a carrier;

La mia ipotesi è che la tua password non sia stampata sulla tua bolletta, quindi esclude la parte B.

Non riesco a capire come una password si riferisce a un servizio di telecomunicazione se non per fornire sicurezza per le informazioni che descrivono quel servizio, quindi sembra che linke non faccia parte A.

La spiegazione dell'azienda è sbagliata

Ero abituato a lavorare per una telco, e questo è assolutamente sbagliato.

Prima di tutto, sì, sono tenuti ad autenticarti in qualche modo. Questo è vero.

La telco può affrontare severe sanzioni per la divulgazione di CPNI senza autenticare correttamente l'utente del chiamante o del sito web. Stiamo parlando di migliaia di dollari per violazione.

A Right Way and A Wrong Way

Tuttavia, non vi è alcun motivo per visualizzare la password Web in chiaro. Esistono molti modi per autenticare i chiamanti senza password --- e anche se scelgono di utilizzare un PIN / password visibile, non dovrebbe essere la stessa password utilizzata per accedere a portali web, email, ecc.

Spiegazione alternativa possibile

O hanno preso una terribile decisione di sicurezza nel tentativo di rispettare la legge, oppure hai erroneamente fornito la stessa password sia per l'accesso al portale web che per la gestione dell'account.

Per vedere dove è stato fatto l'errore, cambia semplicemente la tua password web. Se l'agente vede questa nuova password la prossima volta che chiami, la società ha commesso un grosso errore. Questo sarebbe solo un errore di sicurezza, tuttavia, non una violazione della legge.

Espandere La risposta di DW in una direzione leggermente diversa, potrebbe essere che si tratta di un'interpretazione errata progettata per "coprire tutte le basi" e / o l'interpretazione di un requisito vago / fuorviante che ritengono si coprirà completamente come possono.

Lavoro in Healthcare, in particolare nel dipartimento di formazione per un sistema sanitario di dimensioni modeste, e ho visto alcuni "requisiti" educativi davvero stupidi pervenire sulla mia scrivania per uno o entrambi i precedenti. Di solito c'è un'interpretazione molto più ragionevole che soddisfa tutti i requisiti dichiarati del regolamento o della certificazione, ma alcune persone semplicemente non sono soddisfatte se non è l'interpretazione più contorta e / o assurda.