最近,我使用了几年前拥有的帐户的政府服务。我忘记了该服务的密码,因此我使用了“忘记密码”链接,并且很惊讶地看到这个政府网站以纯文本格式将密码发送到了我的电子邮件地址。
我个人知道如何处理用户密码,并通过反馈表单(这是一个政府网站,发送了一些关于我的担忧的评论。人们使用其他在线政府服务来处理敏感信息,以及大多数人对所有事情都使用相同的密码或少数几个密码(我知道我确实如此),并且我怀疑整个过程中都使用了相同的安全性实践),对此我迅速做出了回应。他们向我保证,“该部已采取必要步骤保护密码信息,包括使用适当的加密方法对其进行存储”。
我只想说“很显然,如果您可以通过电子邮件将密码发送给我,显然您没有采取必要的步骤”,但我并不是想表现得粗鲁,而且我认为我的信息永远不会接触到反正知道我的意思的人。
因此,我只想声明“尚未根据[某些官方安全标准]采取必要的步骤”,这可能会促使人们对其进行调查。我在OWASP上进行了快速搜索,但只找到了一篇有关纯文本存储的文章。
是否存在关于用户密码处理的安全标准,该标准禁止(我认为可能)禁止存储可检索的密码信息?甚至更好:处理诸如银行和政府网络服务之类的敏感信息的网站是否必须遵循这样的标准?
我知道我可能不会做任何更改,但是值得一试。
大约一年前,我从VMWare得到了同样的东西,但是不是因为我忘记了密码。我刚刚注册,知道我刚刚输入的密码,然后他们以明文形式将其通过电子邮件发送给我。谢谢,我已经知道了!
—
thursdaysgeek
大声笑。我希望人们不要这样做。
—
卡森·迈尔斯,
您要问的内容实际上取决于您所在国家/地区的法律。我们都知道最好的做法是使用存储碰撞的证明算法盐腌单向散列,但除非有该法术了这一点,它真的选择性适用法律。我怀疑,但是,如果您深入了解有关人力资源管理的ISO,您也许能够找到看起来“官方”的东西。
—
蒂姆·波斯特
@蒂姆,谢谢,我想我不认为这取决于国家。
—
卡森·迈尔斯,