Ich habe kürzlich einen Regierungsdienst in Anspruch genommen, für den ich vor Jahren einen Account hatte. Ich konnte mich nicht an mein Passwort für den Dienst erinnern, also habe ich den Link "Passwort vergessen" verwendet und war erstaunt, dass diese Regierungswebsite mein Passwort im Klartext an meine E-Mail-Adresse gesendet hat.
Ich bin mir persönlich bewusst, wie man mit Benutzerpasswörtern umgeht, und habe einige Kommentare zu meinen Bedenken über ein Feedbackformular gesendet (dies ist eine Regierungswebsite. Die Leute nutzen andere Online-Regierungsdienste, die sich mit sensiblen Informationen befassen, sowie die Tatsache, dass Die meisten Leute verwenden für alles dasselbe oder eine Handvoll von Passwörtern (ich weiß, dass ich es tue) und ich vermute, dass überall die gleichen Sicherheitspraktiken angewendet werden), auf die ich umgehend eine Antwort erhielt. Sie versicherten mir einfach, dass "das Ministerium die notwendigen Schritte unternommen hat, um die Passwortinformationen zu schützen, einschließlich deren Speicherung mit den richtigen Verschlüsselungen."
Ich möchte nur sagen, dass Sie offensichtlich nicht die erforderlichen Schritte unternommen haben, um mir mein Passwort per E-Mail zu senden, aber ich versuche nicht, unhöflich zu sein, und ich glaube nicht, dass meine Nachricht es jemals tun würde erreichen Sie jemanden, der weiß, was ich sowieso meine.
Deshalb möchte ich nur festhalten, dass "die notwendigen Schritte nicht gemäß [einem offiziellen Sicherheitsstandard] unternommen wurden", was jemanden dazu veranlassen könnte, sich damit zu befassen. Ich habe eine schnelle Suche in OWASP durchgeführt, aber nur einen Artikel über die Speicherung von Klartext gefunden.
Gibt es einen Sicherheitsstandard für die Handhabung von Benutzerpasswörtern, der die Speicherung abrufbarer Passwortinformationen (wie ich es wahrscheinlich denke) verbietet? Noch besser: Gibt es einen solchen Standard, dem Websites folgen müssen , die sich mit sensiblen Informationen befassen, z. B. Banken und staatliche Webdienste?
Ich weiß, dass ich wahrscheinlich nichts ändern werde, aber es ist einen Versuch wert, IMO.
Antworten:
Nun, der epische Thread /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev hat sicherlich viel zu diesem Thema zu sagen.
Möglicherweise relevant für Ihre Interessen:
quelle