Gibt es einen offiziellen Standard für das Speichern von Benutzerkennwörtern?

17

Ich habe kürzlich einen Regierungsdienst in Anspruch genommen, für den ich vor Jahren einen Account hatte. Ich konnte mich nicht an mein Passwort für den Dienst erinnern, also habe ich den Link "Passwort vergessen" verwendet und war erstaunt, dass diese Regierungswebsite mein Passwort im Klartext an meine E-Mail-Adresse gesendet hat.

Ich bin mir persönlich bewusst, wie man mit Benutzerpasswörtern umgeht, und habe einige Kommentare zu meinen Bedenken über ein Feedbackformular gesendet (dies ist eine Regierungswebsite. Die Leute nutzen andere Online-Regierungsdienste, die sich mit sensiblen Informationen befassen, sowie die Tatsache, dass Die meisten Leute verwenden für alles dasselbe oder eine Handvoll von Passwörtern (ich weiß, dass ich es tue) und ich vermute, dass überall die gleichen Sicherheitspraktiken angewendet werden), auf die ich umgehend eine Antwort erhielt. Sie versicherten mir einfach, dass "das Ministerium die notwendigen Schritte unternommen hat, um die Passwortinformationen zu schützen, einschließlich deren Speicherung mit den richtigen Verschlüsselungen."

Ich möchte nur sagen, dass Sie offensichtlich nicht die erforderlichen Schritte unternommen haben, um mir mein Passwort per E-Mail zu senden, aber ich versuche nicht, unhöflich zu sein, und ich glaube nicht, dass meine Nachricht es jemals tun würde erreichen Sie jemanden, der weiß, was ich sowieso meine.

Deshalb möchte ich nur festhalten, dass "die notwendigen Schritte nicht gemäß [einem offiziellen Sicherheitsstandard] unternommen wurden", was jemanden dazu veranlassen könnte, sich damit zu befassen. Ich habe eine schnelle Suche in OWASP durchgeführt, aber nur einen Artikel über die Speicherung von Klartext gefunden.

Gibt es einen Sicherheitsstandard für die Handhabung von Benutzerpasswörtern, der die Speicherung abrufbarer Passwortinformationen (wie ich es wahrscheinlich denke) verbietet? Noch besser: Gibt es einen solchen Standard, dem Websites folgen müssen , die sich mit sensiblen Informationen befassen, z. B. Banken und staatliche Webdienste?

Ich weiß, dass ich wahrscheinlich nichts ändern werde, aber es ist einen Versuch wert, IMO.

Carson Myers
quelle
Ich habe vor ungefähr einem Jahr dasselbe von VMWare bekommen, aber nicht, weil ich mein Passwort vergessen hatte. Ich hatte mich gerade angemeldet und kannte das Passwort, das ich gerade eingegeben hatte, und sie schickten es mir im Klartext per E-Mail zurück. Danke, das wusste ich schon!
Donnerstag,
lol das ist schrecklich Ich wünschte, die Leute würden damit aufhören.
Carson Myers
Was Sie wirklich verlangen, hängt von der Gesetzgebung in Ihrem Land ab. Wir alle wissen, dass die beste Vorgehensweise darin besteht, einen gesalzenen One-Way-Hash mithilfe eines kollisionssicheren Algorithmus zu speichern. Wenn dies jedoch nicht durch ein Gesetz festgelegt wird, gilt dies wirklich selektiv. Ich vermute jedoch, dass Sie in der Lage sein könnten, etwas zu finden, das "offiziell" aussieht, wenn Sie sich im Bereich Personalmanagement mit ISO befassen.
Tim Post
@ Tim danke, ich glaube ich hätte nicht gedacht, dass es vom Land abhängen würde.
Carson Myers

Antworten:

5

Nun, der epische Thread /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev hat sicherlich viel zu diesem Thema zu sagen.

Möglicherweise relevant für Ihre Interessen:

-1 Passwörter sollten niemals "verschlüsselt" werden. Dies ist eine Verletzung von CWE-257. Cwe.mitre.org/data/definitions/257.html - Rook 17. Februar 10 um 21:52

Brad
quelle
Ich nehme an, Sie können sie mit einem öffentlichen / privaten Schlüsselpaar verschlüsseln, solange Sie sicherstellen, dass der private Schlüssel versehentlich verloren geht :-)
gnasher729