Existe-t-il une norme officielle concernant les pratiques de stockage des mots de passe des utilisateurs?

17

J'ai récemment utilisé un service gouvernemental pour lequel j'avais un compte il y a des années. Je ne me souvenais pas de mon mot de passe pour le service, j'ai donc utilisé le lien "mot de passe oublié" et j'ai été étonné de voir que ce site Web du gouvernement a envoyé mon mot de passe à mon adresse e-mail en texte clair.

Je suis personnellement au courant de la façon de gérer les mots de passe des utilisateurs, et j'ai envoyé quelques commentaires sur mes préoccupations via un formulaire de rétroaction (il s'agit d'un site Web du gouvernement. Les gens utilisent d'autres services gouvernementaux en ligne qui traitent des informations sensibles, ainsi que le fait que la plupart des gens utilisent le même mot de passe ou une poignée de mots de passe pour tout (je sais que je le fais) et je soupçonne que les mêmes pratiques de sécurité sont utilisées partout) pour lesquelles j'ai obtenu une réponse rapide. Ils m'ont simplement rassuré que "le ministère a pris les mesures nécessaires pour protéger les informations de mot de passe, y compris en les stockant avec les cryptages appropriés en place".

Je voudrais juste dire "eh bien évidemment, vous n'avez pas pris les mesures nécessaires si vous pouvez m'envoyer mon mot de passe par e-mail" mais je n'essaie pas d'être impoli, et je ne pense pas que mon message atteindre quelqu'un qui sait ce que je veux dire de toute façon.

Je voudrais donc simplement déclarer que "les mesures nécessaires n'ont pas été prises conformément à [une norme de sécurité officielle]", ce qui pourrait inciter quelqu'un à l'examiner. J'ai fait une recherche rapide sur OWASP mais n'ai trouvé qu'un article concernant le stockage en texte brut.

Existe-t-il une norme de sécurité concernant la gestion des mots de passe des utilisateurs qui interdit (comme je le pense probablement) le stockage des informations de mot de passe récupérables? Encore mieux: existe-t-il une telle norme qui doit être suivie par les sites Web traitant d'informations sensibles telles que les banques et les services Web gouvernementaux?

Je sais que je ne changerai probablement rien, mais ça vaut le coup d'IMO.

Carson Myers
la source
J'ai reçu la même chose de VMWare il y a environ un an, mais pas parce que j'avais oublié mon mot de passe. Je venais de m'inscrire et connaissais le mot de passe que je venais d'entrer, et ils me l'ont renvoyé par e-mail en clair. Merci, je le savais déjà!
jeudi jeudi
lol c'est horrible. J'aimerais que les gens cessent de faire ça.
Carson Myers
Ce que vous demandez dépend vraiment de la législation de votre pays. Nous savons tous que la meilleure pratique consiste à stocker un hachage unidirectionnel salé à l'aide d'un algorithme anti-collision, mais à moins qu'une loi ne le précise, il s'applique vraiment de manière sélective. Je soupçonne cependant que vous pourriez être en mesure de trouver quelque chose qui semble «officiel» si vous fouillez l'ISO en ce qui concerne la gestion des ressources humaines.
Tim Post
@ Merci Tim, je suppose que je ne pensais pas que cela dépendrait du pays.
Carson Myers

Réponses:

5

Eh bien, le fil épique /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev a certainement beaucoup à dire sur le problème.

Potentiellement pertinent pour vos intérêts:

-1 les mots de passe ne doivent jamais être "cryptés" C'est une violation de CWE-257 cwe.mitre.org/data/definitions/257.html - Tour 17 février 10 à 21:52

Brad
la source
Je suppose que vous pouvez les chiffrer avec une paire de clés publique / privée, tant que vous vous assurez que la clé privée est perdue par accident :-)
gnasher729