Existe um padrão oficial sobre práticas de armazenamento de senha de usuário?

17

Recentemente, usei um serviço do governo do qual eu tinha conta há anos atrás. Como não me lembrava da minha senha do serviço, usei o link "esqueci a senha" e fiquei surpreso ao ver que este site do governo enviou minha senha ao meu endereço de email em texto sem formatação.

Estou pessoalmente ciente de como lidar com senhas de usuários e enviei alguns comentários sobre minhas preocupações por meio de um formulário de feedback (este é um site do governo. As pessoas usam outros serviços governamentais on-line que lidam com informações confidenciais, além do fato de que a maioria das pessoas usa a mesma senha ou um punhado de senhas para tudo (eu sei que faço) e desconfio que as mesmas práticas de segurança sejam usadas por toda a parte) pelas quais recebi uma resposta imediata. Eles simplesmente me garantiram que "o Ministério tomou as medidas necessárias para proteger as informações de senha, incluindo armazená-las com as criptografias apropriadas".

Eu gostaria de dizer "bem, obviamente você não tomou as medidas necessárias se puder enviar a minha senha por e-mail", mas não estou tentando ser grosseira e acho que minha mensagem nunca alcançar alguém que saiba o que quero dizer de qualquer maneira.

Por isso, gostaria de dizer apenas que "as medidas necessárias não foram tomadas de acordo com [algum padrão oficial de segurança]", o que pode levar alguém a investigá-lo. Fiz uma pesquisa rápida no OWASP, mas só encontrei um artigo sobre armazenamento de texto sem formatação.

Existe um padrão de segurança em relação à manipulação de senhas do usuário que proíbe (como eu provavelmente provavelmente faria) o armazenamento de informações de senhas recuperáveis? Melhor ainda: existe um padrão que deve ser seguido por sites que lidam com informações confidenciais, como bancos e serviços da web do governo?

Eu sei que provavelmente não vou mudar nada, mas vale a pena tentar na IMO.

Carson Myers
fonte
Eu recebi a mesma coisa do VMWare cerca de um ano atrás, mas não porque eu tinha esquecido minha senha. Acabei de me inscrever e sabia a senha que acabara de digitar, e eles me enviaram de volta em texto sem formatação. Obrigado, eu já sabia disso!
thursdaysgeek
lol isso é horrível. Eu gostaria que as pessoas parassem de fazer isso.
Carson Myers
O que você está realmente pedindo depende da legislação do seu país. Todos sabemos que a melhor prática é armazenar um hash salgado de mão única usando um algoritmo à prova de colisão, no entanto, a menos que exista uma lei que explique isso, ele realmente se aplica seletivamente. Suspeito, no entanto, que você possa encontrar algo que pareça 'oficial' se você pesquisar na ISO a respeito do gerenciamento de recursos humanos.
Tim Post
@ Tim obrigado, acho que não achei que seria dependente do país.
Carson Myers

Respostas:

5

Bem, o tópico épico /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev certamente tem muito a dizer sobre o problema.

Potencialmente relevante para seus interesses:

As senhas -1 nunca devem ser "criptografadas" É uma violação do CWE-257 cwe.mitre.org/data/definitions/257.html - Rook 17 de fevereiro '10 às 21:52

Brad
fonte
Eu suponho que você pode criptografar-los com um par de chaves pública / privada, desde que você tenha certeza que a chave privada se perde por acidente :-)
gnasher729