มีมาตรฐานอย่างเป็นทางการเกี่ยวกับแนวทางปฏิบัติในการจัดเก็บรหัสผ่านของผู้ใช้หรือไม่?


17

ฉันเพิ่งใช้บริการของรัฐที่ฉันมีบัญชีมานานหลายปีแล้ว ฉันจำรหัสผ่านไม่ได้สำหรับบริการดังนั้นฉันจึงใช้ลิงก์ "ลืมรหัสผ่าน" และรู้สึกประหลาดใจเมื่อเห็นว่าเว็บไซต์ของรัฐบาลนี้ส่งรหัสผ่านของฉันไปยังที่อยู่อีเมลเป็นข้อความธรรมดา

ฉันทราบถึงวิธีจัดการกับรหัสผ่านของผู้ใช้เป็นการส่วนตัวและฉันส่งความคิดเห็นบางอย่างเกี่ยวกับข้อกังวลของฉันผ่านแบบฟอร์มความคิดเห็น (นี่เป็นเว็บไซต์ของรัฐบาลผู้คนใช้บริการ gov ออนไลน์อื่น ๆ ที่จัดการกับข้อมูลที่ละเอียดอ่อน คนส่วนใหญ่ใช้รหัสผ่านเดียวกันหรือรหัสผ่านจำนวนหนึ่งสำหรับทุกสิ่ง (ฉันรู้ว่าฉันทำ) และฉันสงสัยว่ามีการใช้การรักษาความปลอดภัยแบบเดียวกันตลอด) ซึ่งฉันได้รับการตอบกลับอย่างรวดเร็ว พวกเขาเพียงแค่ให้ความมั่นใจกับฉันว่า "กระทรวงได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องข้อมูลรหัสผ่านรวมถึงการจัดเก็บพวกเขาด้วยการเข้ารหัสที่เหมาะสม"

ฉันอยากจะบอกว่า "เห็นได้ชัดว่าคุณไม่ได้ทำตามขั้นตอนที่จำเป็นหากคุณสามารถส่งรหัสผ่านให้ฉันทางอีเมล" แต่ฉันไม่ได้พยายามหยาบคายและฉันไม่คิดว่าข้อความของฉันจะเคย เข้าถึงคนที่รู้ว่าฉันหมายถึงอะไรอยู่ดี

ดังนั้นฉันจึงขอกล่าวว่า "ขั้นตอนที่จำเป็นยังไม่ได้ดำเนินการตาม [มาตรฐานความปลอดภัยบางอย่างเป็นทางการ]" ซึ่งอาจกระตุ้นให้บางคนมองเข้าไป ฉันค้นหา OWASP อย่างรวดเร็ว แต่พบบทความเกี่ยวกับที่เก็บข้อความธรรมดา

มีมาตรฐานความปลอดภัยเกี่ยวกับการจัดการรหัสผ่านของผู้ใช้ที่มีการห้ามจัดเก็บข้อมูลรหัสผ่านที่สามารถเรียกคืนได้หรือไม่ (อย่างที่ฉันคิดว่าน่าจะเป็น) ยิ่งไปกว่านั้น: มีมาตรฐานดังกล่าวที่ต้องปฏิบัติตามด้วยเว็บไซต์ที่จัดการกับข้อมูลที่ละเอียดอ่อนเช่นธนาคารและบริการเว็บของรัฐบาลหรือไม่

ฉันรู้ว่าฉันอาจจะไม่เปลี่ยนแปลงอะไรเลย แต่มันก็คุ้มค่ากับ IMO shot


ฉันได้รับสิ่งเดียวกันจาก VMWare เมื่อประมาณหนึ่งปีที่แล้ว แต่ไม่ใช่เพราะฉันลืมรหัสผ่าน ฉันเพิ่งสมัครใช้งานและรู้รหัสผ่านที่ฉันเพิ่งป้อนและพวกเขาก็ส่งอีเมลกลับมาหาฉันในแบบธรรมดา ขอบคุณฉันรู้แล้ว!
วันพฤหัสบดีที่

ฮ่า ๆ ที่น่ากลัว ฉันหวังว่าคนจะหยุดทำอย่างนั้น
Carson Myers

สิ่งที่คุณถามขึ้นอยู่กับกฎหมายในประเทศของคุณ เราทุกคนรู้วิธีปฏิบัติที่ดีที่สุดคือการจัดเก็บแฮชทางเดียวแบบเค็มโดยใช้อัลกอริธึมการพิสูจน์การชนกันของข้อมูล ฉันสงสัยว่าคุณอาจพบบางสิ่งที่ดูเหมือน 'เป็นทางการ' หากคุณขุดผ่าน ISO เกี่ยวกับการจัดการทรัพยากรมนุษย์
Tim Post

@ ขอบคุณมากฉันคิดว่าฉันไม่คิดว่ามันจะขึ้นอยู่กับประเทศ
Carson Myers

คำตอบ:


5

ดีด้ายมหากาพย์/programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retrievแน่นอนมีจำนวนมากที่จะพูดเกี่ยวกับปัญหา

อาจเกี่ยวข้องกับความสนใจของคุณ:

รหัสผ่าน -1 ไม่ควร "เข้ารหัส" เป็นการละเมิด CWE-257 cwe.mitre.org/data/definitions/257.html - Rook 17 ก.พ. 2010เวลา 21:52 น


ฉันคิดว่าคุณสามารถเข้ารหัสได้ด้วยกุญแจสาธารณะ / ส่วนตัวตราบใดที่คุณตรวจสอบให้แน่ใจว่ากุญแจส่วนตัวหายไปโดยไม่ได้ตั้งใจ :-)
gnasher729
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.