Esiste uno standard ufficiale relativo alle pratiche di archiviazione delle password degli utenti?


17

Recentemente ho usato un servizio governativo di cui avevo un account da anni. Non riuscivo a ricordare la mia password per il servizio, quindi ho usato il link "password dimenticata" e sono rimasto sorpreso nel vedere che questo sito web del governo ha inviato la mia password al mio indirizzo e-mail in chiaro.

Sono personalmente a conoscenza di come gestire le password degli utenti e ho inviato alcuni commenti sulle mie preoccupazioni attraverso un modulo di feedback (questo è un sito Web governativo. Le persone usano altri servizi di governo online che trattano informazioni sensibili, nonché il fatto che la maggior parte delle persone usa la stessa password o una manciata di password per tutto (lo so che lo faccio) e sospetto che le stesse pratiche di sicurezza siano utilizzate dappertutto) per le quali ho ricevuto una pronta risposta. Mi hanno semplicemente rassicurato sul fatto che "il Ministero ha preso le misure necessarie per proteggere le informazioni sulla password, inclusa la memorizzazione con le opportune crittografie in atto".

Vorrei solo dire "beh ovviamente non hai preso le misure necessarie se riesci a inviarmi la mia password" ma non sto cercando di essere scortese e non credo che il mio messaggio sarebbe mai raggiungere qualcuno che sa comunque cosa intendo.

Quindi vorrei solo affermare che "i passi necessari non sono stati adottati secondo [alcuni standard di sicurezza ufficiali]" che potrebbero indurre qualcuno a esaminarlo. Ho fatto una rapida ricerca su OWASP ma ho trovato solo un articolo riguardante l'archiviazione in testo normale.

Esiste uno standard di sicurezza per quanto riguarda la gestione delle password degli utenti che vieta (come penso probabilmente lo farebbe) la memorizzazione delle informazioni sulle password recuperabili? Ancora meglio: esiste uno standard del genere che deve essere seguito da siti Web che trattano informazioni sensibili come banche e servizi web governativi?

So che probabilmente non cambierò nulla, ma vale la pena provare IMO.


Ho ricevuto la stessa cosa da VMWare circa un anno fa, ma non perché avevo dimenticato la mia password. Mi ero appena registrato e conoscevo la password che avevo appena inserito e me l'hanno restituita via e-mail in chiaro. Grazie, lo sapevo già!
giovedì giovedì

lol che è terribile. Vorrei che la gente smettesse di farlo.
Carson Myers,

Quello che stai chiedendo dipende davvero dalla legislazione del tuo paese. Sappiamo tutti che la migliore pratica è quella di archiviare un hash unidirezionale salato usando un algoritmo a prova di collisione, tuttavia a meno che non ci sia una legge che lo chiarisca, si applica in modo selettivo. Sospetto, tuttavia, che potresti essere in grado di trovare qualcosa che sembri "ufficiale" se scavi attraverso l'ISO per quanto riguarda la gestione delle risorse umane.
Tim Post

@Tim grazie, immagino non pensassi che sarebbe dipeso dal paese.
Carson Myers,

Risposte:


5

Bene, il filo epico /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev ha sicuramente molto da dire sulla questione.

Potenzialmente rilevante per i tuoi interessi:

-1 le password non devono mai essere "crittografate" È una violazione di CWE-257 cwe.mitre.org/data/definitions/257.html - Rook 17 febbraio 10 alle 21:52


Suppongo che tu possa crittografarli con una coppia di chiavi pubblica / privata, purché tu ti assicuri che la chiave privata si perda per caso :-)
gnasher729
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.