Czy istnieje oficjalny standard dotyczący praktyk przechowywania haseł użytkowników?

17

Niedawno skorzystałem z usługi rządowej, z której miałem konto od lat temu. Nie mogłem zapamiętać mojego hasła do usługi, więc skorzystałem z linku „zapomniałem hasła” i byłem zaskoczony, że ta rządowa witryna wysłała moje hasło na mój adres e-mail zwykłym tekstem.

Jestem osobiście świadomy tego, jak radzić sobie z hasłami użytkowników, i wysłałem kilka uwag na temat moich obaw za pośrednictwem formularza opinii (jest to strona rządowa. Ludzie korzystają z innych internetowych usług rządowych, które zajmują się poufnymi informacjami, a także fakt, że większość ludzi używa tego samego hasła lub garści haseł do wszystkiego (wiem, że to robię) i podejrzewam, że stosowane są te same praktyki bezpieczeństwa), na co otrzymałem szybką odpowiedź. Po prostu uspokoili mnie, że „Ministerstwo podjęło niezbędne kroki w celu ochrony informacji o haśle, w tym przechowuje je z odpowiednimi szyframi”.

Chciałbym tylko powiedzieć „oczywiście, że nie podjąłeś niezbędnych kroków, jeśli możesz przesłać mi hasło pocztą e-mail”, ale nie staram się być niegrzeczny i nie sądzę, aby moja wiadomość kiedykolwiek i tak dotrzeć do kogoś, kto wie o co mi chodzi.

Chciałbym więc tylko powiedzieć, że „nie podjęto niezbędnych kroków zgodnie z [jakimś oficjalnym standardem bezpieczeństwa]”, co może skłonić kogoś do przyjrzenia się temu. Zrobiłem szybkie wyszukiwanie w OWASP, ale znalazłem tylko artykuł dotyczący przechowywania zwykłego tekstu.

Czy istnieje standard bezpieczeństwa dotyczący obsługi haseł użytkowników, który zabrania (jak sądzę, że prawdopodobnie by to zrobił) przechowywania informacji o hasłach możliwych do odzyskania? Jeszcze lepiej: czy istnieje taki standard, którego muszą przestrzegać strony internetowe zajmujące się poufnymi informacjami, takimi jak banki i rządowe usługi internetowe?

Wiem, że prawdopodobnie nic nie zmienię, ale warto spróbować IMO.

security standards passwords Carson Myers
źródło
Dostałem to samo od VMWare około rok temu, ale nie dlatego, że zapomniałem hasła. Właśnie się zarejestrowałem i znałem hasło, które właśnie wprowadziłem, a oni wysłali mi je w formie zwykłego tekstu. Dzięki, już to wiedziałem!
Czwartek,
lol to okropne. Chciałbym, żeby ludzie przestali to robić.
Carson Myers,
To, o co pytasz, naprawdę zależy od ustawodawstwa w twoim kraju. Wszyscy wiemy, że najlepszą praktyką jest przechowywanie solonego jednokierunkowego skrótu za pomocą algorytmu odpornego na kolizję, jednak jeśli nie ma takiego prawa, to naprawdę stosuje się selektywnie. Podejrzewam jednak, że możesz znaleźć coś, co wygląda na „oficjalne”, jeśli przejrzysz ISO w zakresie zarządzania zasobami ludzkimi.
Tim Post
@ Tym razem dzięki, chyba nie sądziłem, że będzie to zależało od kraju.
Carson Myers,

Odpowiedzi: