Utilizzare un algoritmo di hash sconosciuto per le password ed essere conforme PCI?

Naviga le tue risposte
4

Abbiamo bisogno di sapere quale algoritmo di hashing è utilizzato per proteggere le password a riposo in relazione al Requisito 8.2.1 PCI DSS?

Stiamo utilizzando un punto di accesso wireless (Yamaha WLX302) nel ramo di sviluppo della nostra divisione di servizi di pagamento.

Ha una console di amministrazione protetta da password in cui la password è sottoposta a hash (o crittografata - non possiamo dirlo) a riposo. In base al Requisito 8.2.1 PCI DSS, siamo tenuti a verificare che le password siano rese illeggibili durante la trasmissione o l'archiviazione.

Il nostro QSA ha insistito sul fatto che avremmo dovuto identificare l'algoritmo di hash / crittografia ma dal momento che il manuale non ha detto nulla sull'algoritmo e gli hash delle password sono stati completamente nascosti dalla console * 1 , abbiamo chiesto al fornitore quale algoritmo è stato utilizzato per archiviare in modo sicuro la password dell'amministratore. Il venditore non ha accettato di divulgare l'algoritmo in uso.

Quindi, le domande sono:

  1. Abbiamo effettivamente bisogno di identificare l'algoritmo hash delle password per essere conformi PCI?
  2. Possiamo ancora essere conformi allo standard PCI senza un accesso amministrativo agli hash delle password?
    2.1. Dal momento che non possiamo vedere le password / gli hash, non possiamo dire se sono anche correttamente hash * 2 . Siamo ancora coperti?

* 1: questo impedisce anche all'amministratore di visualizzare le password con hash, quindi non abbiamo assolutamente idea di quale formato le password siano a riposo, quindi sono illeggibili , credo.

* 2: Almeno possiamo istruire tramite il comando della console per crittografare le password a riposo, ma cosa succede se c'è un bug di sicurezza che tutte le password sono effettivamente memorizzate in testo normale a prescindere dalla configurazione?

    
posta Christopher Smith 22.05.2017 - 11:40
fonte

1 risposta

3

La frase chiave in 8.2.1 è 'Strong Cryptography' che è definita nel glossario come:

Cryptography based on industry-tested and accepted algorithms, along with strong key lengths (minimum 112-bits of effective key strength) and proper key-management practices. Cryptography is a method to protect data and includes both encryption (which is reversible) and hashing (which is not reversible, or “one way”). See Hashing At the time of publication, examples of industry-tested and accepted standards and algorithms include AES (128 bits and higher), TDES/TDEA (triple-length keys), RSA (2048 bits and higher), ECC (224 bits and higher), and DSA/D-H (2048/224 bits and higher). See NIST Special Publication 800-57 Part 1 (http://csrc.nist.gov/publications/) for more guidance on cryptographic key strengths and algorithms.

Il mio consiglio sarebbe quello di copiare questa definizione e chiedere al produttore se la memorizzazione delle password è conforme a questa definizione di crittografia avanzata o alla definizione di hashing (anche nel glossario). Se il produttore dice sì, il tuo QSA ha per essere soddisfatto.

Se la risposta è no (e se il produttore rifiuta di rispondere a te può presumere che ciò significa no), probabilmente dovrai controllare i controlli compensativi o la prova che l'archivio delle password è inaccessibile (o rammaricato del tuo acquisto ) o un'ulteriore segmentazione tale che un compromesso del database delle password non avrebbe alcun effetto sulla sicurezza del CDE.

    
risposta data 24.05.2017 - 12:00
fonte

Leggi altre domande sui tag

Le migliori pratiche che comunicano i collegamenti nella posta elettronica Quali sono gli svantaggi di HPKP?