Существует ли официальный стандарт в отношении методов хранения паролей пользователей?

17

Недавно я использовал государственную службу, на которую у меня был аккаунт много лет назад. Я не мог вспомнить свой пароль для службы, поэтому я использовал ссылку «забыл пароль» и был удивлен, увидев, что этот правительственный веб-сайт отправил мой пароль на мой адрес электронной почты в виде простого текста.

Я лично знаю, как обращаться с паролями пользователей, и я отправил некоторые комментарии о своих проблемах через форму обратной связи (это правительственный веб-сайт. Люди используют другие онлайн-сервисы, которые занимаются конфиденциальной информацией, а также тот факт, что большинство людей используют один и тот же пароль или несколько паролей для всего (я знаю, что я делаю), и я подозреваю, что везде используются одни и те же методы безопасности), на что я получил быстрый ответ. Они просто заверили меня, что «министерство предприняло необходимые шаги для защиты информации о паролях, включая хранение их с надлежащим шифрованием на месте».

Я хотел бы просто сказать: «Ну, очевидно, вы не предприняли необходимых шагов, если сможете отправить мне мой пароль по электронной почте», но я не пытаюсь быть грубым и не думаю, что мое сообщение когда-либо в любом случае достигни кого-нибудь, кто знает, что я имею в виду.

Поэтому я хотел бы просто заявить, что «необходимые шаги не были предприняты в соответствии с [каким-либо официальным стандартом безопасности]», что может подтолкнуть кого-то к его изучению. Я сделал быстрый поиск по OWASP, но нашел только статью о хранении открытого текста.

Существует ли какой-либо стандарт безопасности в отношении обработки паролей пользователей, который запрещает (как мне кажется, вероятно) хранение извлекаемой информации о пароле? Еще лучше: существует ли такой стандарт, которому должны следовать сайты, работающие с конфиденциальной информацией, такие как банки и правительственные веб-службы?

Я знаю, что, вероятно, ничего не изменится, но стоит попробовать IMO.

Карсон Майерс
источник
Примерно год назад я получил то же самое от VMWare, но не потому, что забыл свой пароль. Я только что зарегистрировался, и знал пароль, который я только что ввел, и они отправили его мне в виде открытого текста. Спасибо, я это уже знал!
thursdaysgeek
лол, это ужасно Я бы хотел, чтобы люди перестали это делать.
Карсон Майерс
То, что вы спрашиваете, зависит от законодательства вашей страны. Мы все знаем, что лучшая практика - хранить односторонний хеш-код с использованием алгоритма защиты от коллизий, однако, если нет закона, который это прописывает, он действительно применяется выборочно. Я подозреваю, однако, что вы могли бы найти что-то, что выглядит «официально», если вы изучите ISO в отношении управления человеческими ресурсами.
Тим Пост
@ Спасибо, думаю, я не думал, что это будет зависеть от страны.
Карсон Майерс

Ответы:

5

Что ж, эпическая ветка /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev, безусловно, может многое сказать по этому вопросу.

Потенциально соответствует вашим интересам:

-1 пароли никогда не должны быть «зашифрованы». Это нарушение CWE-257. Cwe.mitre.org/data/definitions/257.html - Ладья, 17 февраля 2010 г. в 21:52.

штифтик
источник
Я полагаю, что вы можете зашифровать их парой открытого и закрытого ключей, если вы убедитесь, что закрытый ключ случайно потерян :-)
gnasher729