Esiste uno standard ufficiale riguardante le pratiche di archiviazione delle password degli utenti?

17

Recentemente ho usato un servizio governativo di cui avevo un account da anni. Non riuscivo a ricordare la mia password per il servizio, quindi ho usato il link "password dimenticata" e sono rimasto stupito nel vedere che questo sito web del governo ha inviato la mia password al mio indirizzo email in testo semplice.

Personalmente sono a conoscenza di come gestire le password degli utenti e ho inviato alcuni commenti sulle mie preoccupazioni attraverso un modulo di feedback (questo è un sito web del governo.Gli utenti usano altri servizi di governo online che trattano informazioni sensibili, così come il fatto che la maggior parte delle persone utilizzi la stessa password o una manciata di password per tutto (lo so che faccio) e sospetto che le stesse pratiche di sicurezza siano utilizzate in tutto) per le quali ho ricevuto una pronta risposta. Mi hanno semplicemente rassicurato dicendo che "il Ministero ha adottato le misure necessarie per proteggere le informazioni sulla password, inclusa la memorizzazione con le crittografie appropriate".

Vorrei solo dire "beh, ovviamente non hai fatto i passi necessari se riesci a inviarmi la mia password via email" ma non sto cercando di essere scortese, e non penso che il mio il messaggio potrebbe mai raggiungere qualcuno che sappia cosa intendo comunque.

Quindi mi piacerebbe solo affermare che "i passi necessari non sono stati presi secondo [alcuni standard di sicurezza ufficiali]" che potrebbero spingere qualcuno a esaminarlo. Ho fatto una rapida ricerca su OWASP ma ho trovato solo un articolo riguardante l'archiviazione in testo semplice.

Esiste uno standard di sicurezza relativo alla gestione delle password degli utenti che proibisce (come penso che probabilmente lo sarebbe) l'archiviazione delle informazioni recuperabili della password? Ancora meglio: esiste un tale standard che deve essere seguito da siti Web che trattano informazioni sensibili come banche e servizi web governativi?

So che probabilmente non cambierò nulla, ma ne vale la pena. IMO.

    
posta Carson Myers 19.04.2011 - 00:49
fonte

1 risposta

5

Bene, il thread epico link ha sicuramente molto da dire sul problema.

Potenzialmente pertinenti ai tuoi interessi:

-1 passwords should never be "encrypted" It is a violation of CWE-257 cwe.mitre.org/data/definitions/257.html – Rook Feb 17 '10 at 21:52

    
risposta data 19.04.2011 - 08:51
fonte

Leggi altre domande sui tag