Có một tiêu chuẩn chính thức liên quan đến thực hành lưu trữ mật khẩu người dùng?


17

Gần đây tôi đã sử dụng một dịch vụ của chính phủ mà tôi đã có một tài khoản từ nhiều năm trước. Tôi không thể nhớ mật khẩu của mình cho dịch vụ nên tôi đã sử dụng liên kết "quên mật khẩu" và rất ngạc nhiên khi thấy trang web của chính phủ này đã gửi mật khẩu của tôi đến địa chỉ email của tôi bằng văn bản thuần túy.

Cá nhân tôi biết cách xử lý mật khẩu người dùng và tôi đã gửi một số nhận xét về mối quan tâm của mình thông qua biểu mẫu phản hồi (đây là trang web của chính phủ. Mọi người sử dụng các dịch vụ trực tuyến khác xử lý thông tin nhạy cảm, cũng như thực tế là hầu hết mọi người sử dụng cùng một mật khẩu hoặc một số mật khẩu cho tất cả mọi thứ (tôi biết là tôi làm) và tôi nghi ngờ các biện pháp bảo mật tương tự được sử dụng xuyên suốt) mà tôi đã nhận được phản hồi nhanh chóng. Họ chỉ đơn giản trấn an tôi rằng "Bộ đã thực hiện các bước cần thiết để bảo vệ thông tin mật khẩu, bao gồm lưu trữ chúng với các mã hóa thích hợp tại chỗ".

Tôi chỉ muốn nói rằng "rõ ràng là bạn chưa thực hiện các bước cần thiết nếu bạn có thể gửi email mật khẩu của tôi cho tôi" nhưng tôi không cố tỏ ra thô lỗ và tôi không nghĩ rằng tin nhắn của mình sẽ xảy ra tiếp cận ai đó biết ý tôi là gì

Vì vậy, tôi muốn chỉ ra rằng "các bước cần thiết chưa được thực hiện theo [một số tiêu chuẩn bảo mật chính thức]" có thể khiến ai đó phải xem xét nó. Tôi đã thực hiện một tìm kiếm nhanh trên OWASP nhưng chỉ tìm thấy một bài viết liên quan đến lưu trữ bản rõ.

Có một tiêu chuẩn bảo mật liên quan đến việc xử lý mật khẩu người dùng ngoài đó cấm (như tôi nghĩ có lẽ sẽ) lưu trữ thông tin mật khẩu có thể truy xuất được không? Thậm chí tốt hơn: có một tiêu chuẩn như vậy phải được theo sau bởi các trang web xử lý thông tin nhạy cảm như ngân hàng và dịch vụ web của chính phủ?

Tôi biết tôi có thể sẽ không thay đổi bất cứ điều gì nhưng nó đáng để IMO.


Tôi đã nhận được điều tương tự từ VMWare khoảng một năm trước, nhưng không phải vì tôi đã quên mật khẩu. Tôi vừa mới đăng ký và biết mật khẩu tôi vừa nhập và họ đã gửi lại email cho tôi trong bản rõ. Cảm ơn, tôi đã biết điều đó!
thứ năm

lol thật kinh khủng Tôi ước mọi người sẽ ngừng làm điều đó.
Carson Myers

Những gì bạn đang hỏi thực sự phụ thuộc vào pháp luật ở nước bạn. Tất cả chúng ta đều biết cách thực hành tốt nhất là lưu trữ hàm băm một chiều bằng thuật toán chống va chạm, tuy nhiên trừ khi có luật quy định điều này, nó thực sự được áp dụng có chọn lọc. Tuy nhiên, tôi nghi ngờ rằng bạn có thể tìm thấy thứ gì đó có vẻ 'chính thức' nếu bạn tìm hiểu về ISO về quản lý nguồn nhân lực.
Tim Post

@Tim cảm ơn, tôi đoán tôi đã không nghĩ rằng nó sẽ phụ thuộc vào quốc gia.
Carson Myers

Câu trả lời:


5

Chà, chủ đề sử thi /programming/2283937/how-should-i-ethical-approach-user-password-stcharge-for-later-plaintext-retriev chắc chắn có rất nhiều điều để nói về vấn đề này.

Có khả năng liên quan đến sở thích của bạn:

-1 mật khẩu không bao giờ được "mã hóa" Đó là vi phạm CWE-257 cwe.mitre.org/data/def địnhs / 572.html - Rook 17/210 lúc 21:51


Tôi cho rằng bạn có thể mã hóa chúng bằng cặp khóa công khai / riêng, miễn là bạn chắc chắn rằng khóa riêng bị mất do tai nạn :-)
gnasher729
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.