J'ai récemment utilisé un service gouvernemental pour lequel j'avais un compte il y a des années. Je ne me souvenais pas de mon mot de passe pour le service, j'ai donc utilisé le lien "mot de passe oublié" et j'ai été étonné de voir que ce site Web du gouvernement a envoyé mon mot de passe à mon adresse e-mail en texte clair.
Je suis personnellement au courant de la façon de gérer les mots de passe des utilisateurs, et j'ai envoyé quelques commentaires sur mes préoccupations via un formulaire de rétroaction (il s'agit d'un site Web du gouvernement. Les gens utilisent d'autres services gouvernementaux en ligne qui traitent des informations sensibles, ainsi que le fait que la plupart des gens utilisent le même mot de passe ou une poignée de mots de passe pour tout (je sais que je le fais) et je soupçonne que les mêmes pratiques de sécurité sont utilisées partout) pour lesquelles j'ai obtenu une réponse rapide. Ils m'ont simplement rassuré que "le ministère a pris les mesures nécessaires pour protéger les informations de mot de passe, y compris en les stockant avec les cryptages appropriés en place".
Je voudrais juste dire "eh bien évidemment, vous n'avez pas pris les mesures nécessaires si vous pouvez m'envoyer mon mot de passe par e-mail" mais je n'essaie pas d'être impoli, et je ne pense pas que mon message atteindre quelqu'un qui sait ce que je veux dire de toute façon.
Je voudrais donc simplement déclarer que "les mesures nécessaires n'ont pas été prises conformément à [une norme de sécurité officielle]", ce qui pourrait inciter quelqu'un à l'examiner. J'ai fait une recherche rapide sur OWASP mais n'ai trouvé qu'un article concernant le stockage en texte brut.
Existe-t-il une norme de sécurité concernant la gestion des mots de passe des utilisateurs qui interdit (comme je le pense probablement) le stockage des informations de mot de passe récupérables? Encore mieux: existe-t-il une telle norme qui doit être suivie par les sites Web traitant d'informations sensibles telles que les banques et les services Web gouvernementaux?
Je sais que je ne changerai probablement rien, mais ça vaut le coup d'IMO.
Réponses:
Eh bien, le fil épique /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev a certainement beaucoup à dire sur le problème.
Potentiellement pertinent pour vos intérêts:
la source