Riferimento per password non sicura tramite e-mail

Naviga le tue risposte
4

Mi sono imbattuto in un sito che durante la reimpostazione della password invia la mia vecchia password a me tramite email.

Ora sappiamo che questo è insicuro. Vedo qui questo domanda e qui e senza dubbio altri.

Tuttavia c'è una fonte ben autorevole che dice che questo è male che posso citare ai loro servizi clienti (cioè le quotazioni da qui o un blogger casuale non sarà abbastanza ufficiale)

Idealmente come sono nel Regno Unito c'è qualcosa sotto l'atto di protezione dei dati o dalla Commissione d'informazione che dice questo

    
posta Mark 25.08.2013 - 02:03
fonte

2 risposte

3

beh, avrei raccomandato plaintextoffenders ma @razethestray lo ha già fatto:)

Per quanto riguarda DPA, direi che il luogo ovvio in cui questa pratica potrebbe non corrispondere ai suoi requisiti è che principio 7 richiede che

Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.

Sfortunatamente il DPA non fornisce alcuna informazione aggiuntiva sui mezzi appropriati, che è (IMHO) un po 'inutile!

Un altro è che, se stanno processando carte di debito o di credito, violerebbero i requisiti PCI DSS sulla memorizzazione e l'elaborazione delle password.

    
risposta data 25.08.2013 - 09:15
fonte
2

Se hai seguito la triste saga del Regno Unito Tesco l'anno scorso, sapresti che quando le persone non capiscono, semplicemente non capiscono. Tesco era un autore di testo in chiaro che in realtà ha twittato una risposta dicendo

@troyhunt Passwords are stored in a secure way. They’re only copied into plain text when pasted automatically into a password reminder mail.

Da allora è stato ritwittato più di 2000 volte.

Al di là dei problemi apparenti in quel tweet è che molte brave persone, inclusi Troy Hunt , offerti per aiutare Tesco a migliorare i loro sistemi. Tesco non ha mai nemmeno riconosciuto di avere un problema. Anche il fatto di diventare il fanciullo del manifesto per l'incapacità di capire non sembra far pensare che stessero facendo qualcosa di sbagliato.

Solo dopo che è diventato qualcosa di tremendo ridicolo e aver colpito la stampa tech ha portato a alcuni discorsi di indagine da parte del Commissariato per le informazioni.

Tesco non ha più e-mail o password in chiaro in formato DM, ma non abbiamo nessuna indicazione che vedano alcun problema nel modo in cui memorizzano le password.

Quindi potresti indicare la cattiva stampa ricevuta da Tesco e suggerire che potrebbero evitarlo cercando di capire perché avere delle password recuperabili in chiaro è una brutta cosa.

Buona fortuna.

    
risposta data 25.08.2013 - 21:06
fonte

Leggi altre domande sui tag

Attacco root del server? Archiviazione sicura / recupero dei dati in un database