Recentemente ho usato un servizio governativo di cui avevo un account da anni. Non riuscivo a ricordare la mia password per il servizio, quindi ho usato il link "password dimenticata" e sono rimasto sorpreso nel vedere che questo sito web del governo ha inviato la mia password al mio indirizzo e-mail in chiaro.
Sono personalmente a conoscenza di come gestire le password degli utenti e ho inviato alcuni commenti sulle mie preoccupazioni attraverso un modulo di feedback (questo è un sito Web governativo. Le persone usano altri servizi di governo online che trattano informazioni sensibili, nonché il fatto che la maggior parte delle persone usa la stessa password o una manciata di password per tutto (lo so che lo faccio) e sospetto che le stesse pratiche di sicurezza siano utilizzate dappertutto) per le quali ho ricevuto una pronta risposta. Mi hanno semplicemente rassicurato sul fatto che "il Ministero ha preso le misure necessarie per proteggere le informazioni sulla password, inclusa la memorizzazione con le opportune crittografie in atto".
Vorrei solo dire "beh ovviamente non hai preso le misure necessarie se riesci a inviarmi la mia password" ma non sto cercando di essere scortese e non credo che il mio messaggio sarebbe mai raggiungere qualcuno che sa comunque cosa intendo.
Quindi vorrei solo affermare che "i passi necessari non sono stati adottati secondo [alcuni standard di sicurezza ufficiali]" che potrebbero indurre qualcuno a esaminarlo. Ho fatto una rapida ricerca su OWASP ma ho trovato solo un articolo riguardante l'archiviazione in testo normale.
Esiste uno standard di sicurezza per quanto riguarda la gestione delle password degli utenti che vieta (come penso probabilmente lo farebbe) la memorizzazione delle informazioni sulle password recuperabili? Ancora meglio: esiste uno standard del genere che deve essere seguito da siti Web che trattano informazioni sensibili come banche e servizi web governativi?
So che probabilmente non cambierò nulla, ma vale la pena provare IMO.