Apakah ada standar resmi mengenai praktik penyimpanan kata sandi pengguna?

17

Saya baru-baru ini menggunakan layanan pemerintah yang saya punya akun dari tahun lalu. Saya tidak dapat mengingat kata sandi saya untuk layanan ini sehingga saya menggunakan tautan "lupa kata sandi" dan terkejut melihat bahwa situs web pemerintah ini mengirimkan kata sandi saya ke alamat email saya dengan teks biasa.

Saya pribadi mengetahui cara menangani kata sandi pengguna, dan saya mengirim beberapa komentar tentang masalah saya melalui formulir umpan balik (ini adalah situs web pemerintah. Orang-orang menggunakan layanan pemerintah online lainnya yang berhubungan dengan informasi sensitif, serta fakta bahwa kebanyakan orang menggunakan kata sandi yang sama atau sedikit kata sandi untuk semuanya (saya tahu saya lakukan) dan saya curiga praktik keamanan yang sama digunakan di seluruh) yang saya dapatkan tanggapan segera. Mereka hanya meyakinkan saya bahwa "Kementerian telah mengambil langkah-langkah yang diperlukan untuk melindungi informasi kata sandi, termasuk menyimpannya dengan enkripsi yang tepat."

Saya hanya ingin mengatakan "baik jelas Anda belum mengambil langkah-langkah yang diperlukan jika Anda dapat mengirim email kata sandi saya" tetapi saya tidak berusaha bersikap kasar, dan saya pikir pesan saya tidak akan pernah mencapai seseorang yang tahu apa yang saya maksud.

Jadi saya ingin menyatakan bahwa "langkah-langkah yang diperlukan belum diambil sesuai dengan [beberapa standar keamanan resmi]" yang mungkin mendorong seseorang untuk memeriksanya. Saya melakukan pencarian cepat di OWASP tetapi hanya menemukan artikel tentang penyimpanan plaintext.

Apakah ada standar keamanan mengenai penanganan kata sandi pengguna di luar sana yang melarang (karena saya pikir itu mungkin) penyimpanan informasi kata sandi yang dapat diambil? Bahkan lebih baik: adakah standar seperti itu yang harus diikuti oleh situs web yang berurusan dengan informasi sensitif seperti bank dan layanan web pemerintah?

Saya tahu saya mungkin tidak akan mengubah apa pun tetapi IMO layak dicoba.

Carson Myers
sumber
Saya mendapat hal yang sama dari VMWare sekitar setahun yang lalu, tetapi bukan karena saya lupa kata sandi. Saya baru saja mendaftar, dan tahu kata sandi yang baru saja saya masukkan, dan mereka mengirim email kembali kepada saya dalam plaintext. Terima kasih, saya sudah tahu itu!
thursdaysgeek
lol itu mengerikan. Saya berharap orang-orang akan berhenti melakukan itu.
Carson Myers
Apa yang Anda tanyakan sangat tergantung pada undang-undang di negara Anda. Kita semua tahu praktik terbaik adalah untuk menyimpan hash satu arah asin menggunakan algoritma bukti tabrakan, namun kecuali ada hukum yang menguraikan ini, itu benar-benar berlaku selektif. Namun saya menduga Anda mungkin dapat menemukan sesuatu yang terlihat 'resmi' jika Anda menggali melalui ISO tentang manajemen sumber daya manusia.
Pos Tim
@Tim terima kasih, kurasa aku tidak berpikir itu akan tergantung pada negara.
Carson Myers

Jawaban:

5

Nah, utas epik /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev tentu banyak bicara tentang masalah ini.

Berpotensi relevan dengan minat Anda:

-1 password tidak boleh "dienkripsi" Ini adalah pelanggaran terhadap cwe-257 cwe.mitre.org/data/definitions/257.html - Rook 17 Feb '10 di 21:52

Brad
sumber
Saya kira Anda dapat mengenkripsi mereka dengan pasangan kunci publik / pribadi, selama Anda memastikan bahwa kunci pribadi hilang secara tidak sengaja :-)
gnasher729