Kısa bir süre önce hesabım olan bir devlet hizmetini kısa bir süre önce kullandım. Hizmet için şifremi hatırlayamadım, bu yüzden "şifremi unuttum" bağlantısını kullandım ve bu resmi web sitesinin şifremi e-posta adresime düz metin olarak gönderdiğini görünce şaşırdım.
Kişisel olarak kullanıcı şifrelerini nasıl kullanacağımın farkındayım ve bir geri bildirim formu aracılığıyla endişelerimle ilgili bazı yorumlar gönderdim (bu bir hükümet web sitesidir. İnsanlar hassas bilgilerle ilgilenen diğer çevrimiçi gov. Hizmetlerini ve Çoğu kişi her şey için aynı şifreyi veya bir avuç şifreyi kullanıyor (yaptığımı biliyorum) ve aynı güvenlik uygulamalarının kullanıldığından şüpheleniyorum). "Bakanlığın şifre bilgilerini korumak için gerekli şifrelemeleri yerinde saklamak da dahil olmak üzere gerekli adımları attığı" konusunda bana güvence verdi.
Sadece "Şifremi bana e-postayla gönderebiliyorsanız gerekli adımları atmadınız" demek istiyorum ama kaba olmaya çalışmıyorum ve mesajımın hiç gelmeyeceğini sanmıyorum ne demek istediğimi bilen birine ulaş.
Bu nedenle, sadece "bazı resmi güvenlik standartlarına göre gerekli adımların atılmadığını" belirtmek isterim ki bu, birinin içine bakmasını sağlayabilir. OWASP üzerinde hızlı bir arama yaptım ancak sadece düz metin depolama ile ilgili bir makale buldum.
Kullanılabilir parola bilgilerinin depolanmasını yasaklayan (muhtemelen sanırım) kullanıcı parolası kullanımı ile ilgili bir güvenlik standardı var mı? Daha da iyisi: Hangi tür bir standart yoktur zorunluluk Bankalar ve hükümet web hizmetleri gibi hassas bilgilerle ilgilenen web siteleri tarafından takip mı?
Muhtemelen hiçbir şeyi değiştirmeyeceğimi biliyorum ama bir atış IMO'suna değer.