ฉันเพิ่งใช้บริการของรัฐที่ฉันมีบัญชีมานานหลายปีแล้ว ฉันจำรหัสผ่านไม่ได้สำหรับบริการดังนั้นฉันจึงใช้ลิงก์ "ลืมรหัสผ่าน" และรู้สึกประหลาดใจเมื่อเห็นว่าเว็บไซต์ของรัฐบาลนี้ส่งรหัสผ่านของฉันไปยังที่อยู่อีเมลเป็นข้อความธรรมดา
ฉันทราบถึงวิธีจัดการกับรหัสผ่านของผู้ใช้เป็นการส่วนตัวและฉันส่งความคิดเห็นบางอย่างเกี่ยวกับข้อกังวลของฉันผ่านแบบฟอร์มความคิดเห็น (นี่เป็นเว็บไซต์ของรัฐบาลผู้คนใช้บริการ gov ออนไลน์อื่น ๆ ที่จัดการกับข้อมูลที่ละเอียดอ่อน คนส่วนใหญ่ใช้รหัสผ่านเดียวกันหรือรหัสผ่านจำนวนหนึ่งสำหรับทุกสิ่ง (ฉันรู้ว่าฉันทำ) และฉันสงสัยว่ามีการใช้การรักษาความปลอดภัยแบบเดียวกันตลอด) ซึ่งฉันได้รับการตอบกลับอย่างรวดเร็ว พวกเขาเพียงแค่ให้ความมั่นใจกับฉันว่า "กระทรวงได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องข้อมูลรหัสผ่านรวมถึงการจัดเก็บพวกเขาด้วยการเข้ารหัสที่เหมาะสม"
ฉันอยากจะบอกว่า "เห็นได้ชัดว่าคุณไม่ได้ทำตามขั้นตอนที่จำเป็นหากคุณสามารถส่งรหัสผ่านให้ฉันทางอีเมล" แต่ฉันไม่ได้พยายามหยาบคายและฉันไม่คิดว่าข้อความของฉันจะเคย เข้าถึงคนที่รู้ว่าฉันหมายถึงอะไรอยู่ดี
ดังนั้นฉันจึงขอกล่าวว่า "ขั้นตอนที่จำเป็นยังไม่ได้ดำเนินการตาม [มาตรฐานความปลอดภัยบางอย่างเป็นทางการ]" ซึ่งอาจกระตุ้นให้บางคนมองเข้าไป ฉันค้นหา OWASP อย่างรวดเร็ว แต่พบบทความเกี่ยวกับที่เก็บข้อความธรรมดา
มีมาตรฐานความปลอดภัยเกี่ยวกับการจัดการรหัสผ่านของผู้ใช้ที่มีการห้ามจัดเก็บข้อมูลรหัสผ่านที่สามารถเรียกคืนได้หรือไม่ (อย่างที่ฉันคิดว่าน่าจะเป็น) ยิ่งไปกว่านั้น: มีมาตรฐานดังกล่าวที่ต้องปฏิบัติตามด้วยเว็บไซต์ที่จัดการกับข้อมูลที่ละเอียดอ่อนเช่นธนาคารและบริการเว็บของรัฐบาลหรือไม่
ฉันรู้ว่าฉันอาจจะไม่เปลี่ยนแปลงอะไรเลย แต่มันก็คุ้มค่ากับ IMO shot