ユーザーパスワードの保存方法に関する公式の標準はありますか?


17

私は最近、数年前からアカウントを持っていた政府のサービスを使用しました。サービスのパスワードを思い出せなかったので、「パスワードを忘れた」リンクを使用し、この政府のWebサイトが私のメールアドレスにプレーンテキストでパスワードを送信したことに驚いた。

私はユーザーパスワードの処理方法を個人的に認識しており、フィードバックフォーム(これは政府のWebサイトです。ほとんどの人は、すべてに同じパスワードまたは少数のパスワードを使用します(私は知っています)。彼らは単に、「省はパスワード情報を保護するために必要な措置を講じており、適切な暗号化を行ってパスワード情報を保存している」と安心させました。

「私にパスワードをメールで送ることができれば、明らかに必要な措置を講じていません」と言いたいのですが、失礼になろうとはしていません。とにかく私が何を意味するかを知っている誰かに連絡してください。

だから、「(公式のセキュリティ標準)に従って必要な措置が講じられていない」と述べたいと思います。OWASPをすばやく検索しましたが、プレーンテキストストレージに関する記事しか見つかりませんでした。

取得可能なパスワード情報の保存を禁止する(おそらくそう思うと思われる)ユーザーのパスワード処理に関するセキュリティ標準はありますか?さらに良いことには、銀行や政府のWebサービスなどの機密情報を扱うWebサイトが従わなければならない標準がありますか?

おそらく何も変わらないことは知っていますが、IMOを一撃する価値はあります。


約1年前にVMWareから同じことを受け取りましたが、パスワードを忘れていたからではありません。私はサインアップしたばかりで、入力したパスワードを知っていたので、彼らはそれを平文でメールで送り返してきました。おかげで、私はすでにそれを知っていました!
木曜日

それはひどいです。人々がそれをやめることを望みます。
カーソンマイヤーズ

あなたが本当に求めていることは、あなたの国の法律に依存します。私たちは皆知っている、このうちは、それは本当に選択的に適用される呪文という法律がありますがない限り、ベストプラクティスは、衝突の証拠アルゴリズムを使用して塩漬け一方向ハッシュを格納することです。しかし、人的資源管理に関してISOを掘り下げると、「公式」に見えるものを見つけることができると思います。
ティムポスト

@ティムありがとう、私はそれが国に依存するとは思わなかったと思います。
カーソンマイヤーズ

回答:


5

まあ、エピックスレッド/programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retrievは、この問題について多くのことを言っています。

あなたの興味に関連する可能性がある:

-1パスワードは、「暗号化しない」でくださいそれはCWE-257の違反であるcwe.mitre.org/data/definitions/257.htmlは -ルーク2月17日'10 21時52分で


秘密鍵が偶然に紛失したことを確認する限り、公開鍵と秘密鍵のペアでそれらを暗号化できると思います:
gnasher729
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.