Kullanıcı şifre saklama uygulamaları ile ilgili resmi bir standart var mı?


17

Kısa bir süre önce hesabım olan bir devlet hizmetini kısa bir süre önce kullandım. Hizmet için şifremi hatırlayamadım, bu yüzden "şifremi unuttum" bağlantısını kullandım ve bu resmi web sitesinin şifremi e-posta adresime düz metin olarak gönderdiğini görünce şaşırdım.

Kişisel olarak kullanıcı şifrelerini nasıl kullanacağımın farkındayım ve bir geri bildirim formu aracılığıyla endişelerimle ilgili bazı yorumlar gönderdim (bu bir hükümet web sitesidir. İnsanlar hassas bilgilerle ilgilenen diğer çevrimiçi gov. Hizmetlerini ve Çoğu kişi her şey için aynı şifreyi veya bir avuç şifreyi kullanıyor (yaptığımı biliyorum) ve aynı güvenlik uygulamalarının kullanıldığından şüpheleniyorum). "Bakanlığın şifre bilgilerini korumak için gerekli şifrelemeleri yerinde saklamak da dahil olmak üzere gerekli adımları attığı" konusunda bana güvence verdi.

Sadece "Şifremi bana e-postayla gönderebiliyorsanız gerekli adımları atmadınız" demek istiyorum ama kaba olmaya çalışmıyorum ve mesajımın hiç gelmeyeceğini sanmıyorum ne demek istediğimi bilen birine ulaş.

Bu nedenle, sadece "bazı resmi güvenlik standartlarına göre gerekli adımların atılmadığını" belirtmek isterim ki bu, birinin içine bakmasını sağlayabilir. OWASP üzerinde hızlı bir arama yaptım ancak sadece düz metin depolama ile ilgili bir makale buldum.

Kullanılabilir parola bilgilerinin depolanmasını yasaklayan (muhtemelen sanırım) kullanıcı parolası kullanımı ile ilgili bir güvenlik standardı var mı? Daha da iyisi: Hangi tür bir standart yoktur zorunluluk Bankalar ve hükümet web hizmetleri gibi hassas bilgilerle ilgilenen web siteleri tarafından takip mı?

Muhtemelen hiçbir şeyi değiştirmeyeceğimi biliyorum ama bir atış IMO'suna değer.


Aynı şeyi VMWare'den yaklaşık bir yıl önce aldım, ancak şifremi unuttuğum için değil. Yeni kaydoldum ve yeni girmiş olduğum şifreyi biliyordum ve düz metin olarak bana geri gönderdiler. Teşekkürler, bunu zaten biliyordum!
thursdaysgeek

lol bu korkunç. Keşke insanlar bunu yapmayı kesselerdi.
Carson Myers

Sorduğunuz şey gerçekten ülkenizdeki mevzuata bağlıdır. Hepimiz biliyoruz ki en iyi uygulama, çarpışma kanıtı algoritması kullanarak tuzlanmış tek yönlü bir hash saklamaktır, ancak bunu açıklayan bir yasa yoksa, gerçekten seçici olarak uygulanır. Ancak, insan kaynakları yönetimi konusunda ISO'yu araştırırsanız 'resmi' görünen bir şey bulabileceğinizden şüpheleniyorum.
Tim Post

@ Zaman teşekkürler, sanırım ülkeye bağlı olacağını düşünmemiştim.
Carson Myers

Yanıtlar:


5

Peki, epik konu /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev bu konuda kesinlikle söyleyecek çok şey var.

Çıkarlarınızla potansiyel olarak alakalı:

-1 şifreler asla "şifrelenmemelidir" CWE- 257'nin ihlalidir cwe.mitre.org/data/definitions/257.html - Rook 17 Şubat, 21: 52


Özel anahtarın kazayla kaybolmasını sağladığınız sürece, onları genel / özel bir anahtar çifti ile şifreleyebileceğinizi varsayalım :-)
gnasher729
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.