私は最近、数年前からアカウントを持っていた政府のサービスを使用しました。サービスのパスワードを思い出せなかったので、「パスワードを忘れた」リンクを使用し、この政府のWebサイトが私のメールアドレスにプレーンテキストでパスワードを送信したことに驚いた。
私はユーザーパスワードの処理方法を個人的に認識しており、フィードバックフォーム(これは政府のWebサイトです。ほとんどの人は、すべてに同じパスワードまたは少数のパスワードを使用します(私は知っています)。彼らは単に、「省はパスワード情報を保護するために必要な措置を講じており、適切な暗号化を行ってパスワード情報を保存している」と安心させました。
「私にパスワードをメールで送ることができれば、明らかに必要な措置を講じていません」と言いたいのですが、失礼になろうとはしていません。とにかく私が何を意味するかを知っている誰かに連絡してください。
だから、「(公式のセキュリティ標準)に従って必要な措置が講じられていない」と述べたいと思います。OWASPをすばやく検索しましたが、プレーンテキストストレージに関する記事しか見つかりませんでした。
取得可能なパスワード情報の保存を禁止する(おそらくそう思うと思われる)ユーザーのパスワード処理に関するセキュリティ標準はありますか?さらに良いことには、銀行や政府のWebサービスなどの機密情報を扱うWebサイトが従わなければならない標準がありますか?
おそらく何も変わらないことは知っていますが、IMOを一撃する価値はあります。