Gần đây tôi đã sử dụng một dịch vụ của chính phủ mà tôi đã có một tài khoản từ nhiều năm trước. Tôi không thể nhớ mật khẩu của mình cho dịch vụ nên tôi đã sử dụng liên kết "quên mật khẩu" và rất ngạc nhiên khi thấy trang web của chính phủ này đã gửi mật khẩu của tôi đến địa chỉ email của tôi bằng văn bản thuần túy.
Cá nhân tôi biết cách xử lý mật khẩu người dùng và tôi đã gửi một số nhận xét về mối quan tâm của mình thông qua biểu mẫu phản hồi (đây là trang web của chính phủ. Mọi người sử dụng các dịch vụ trực tuyến khác xử lý thông tin nhạy cảm, cũng như thực tế là hầu hết mọi người sử dụng cùng một mật khẩu hoặc một số mật khẩu cho tất cả mọi thứ (tôi biết là tôi làm) và tôi nghi ngờ các biện pháp bảo mật tương tự được sử dụng xuyên suốt) mà tôi đã nhận được phản hồi nhanh chóng. Họ chỉ đơn giản trấn an tôi rằng "Bộ đã thực hiện các bước cần thiết để bảo vệ thông tin mật khẩu, bao gồm lưu trữ chúng với các mã hóa thích hợp tại chỗ".
Tôi chỉ muốn nói rằng "rõ ràng là bạn chưa thực hiện các bước cần thiết nếu bạn có thể gửi email mật khẩu của tôi cho tôi" nhưng tôi không cố tỏ ra thô lỗ và tôi không nghĩ rằng tin nhắn của mình sẽ xảy ra tiếp cận ai đó biết ý tôi là gì
Vì vậy, tôi muốn chỉ ra rằng "các bước cần thiết chưa được thực hiện theo [một số tiêu chuẩn bảo mật chính thức]" có thể khiến ai đó phải xem xét nó. Tôi đã thực hiện một tìm kiếm nhanh trên OWASP nhưng chỉ tìm thấy một bài viết liên quan đến lưu trữ bản rõ.
Có một tiêu chuẩn bảo mật liên quan đến việc xử lý mật khẩu người dùng ngoài đó cấm (như tôi nghĩ có lẽ sẽ) lưu trữ thông tin mật khẩu có thể truy xuất được không? Thậm chí tốt hơn: có một tiêu chuẩn như vậy phải được theo sau bởi các trang web xử lý thông tin nhạy cảm như ngân hàng và dịch vụ web của chính phủ?
Tôi biết tôi có thể sẽ không thay đổi bất cứ điều gì nhưng nó đáng để IMO.