Нещодавно я користувався службою уряду, на яку у мене був обліковий запис ще років тому. Я не міг запам'ятати свій пароль для сервісу, тому я використав посилання "забутий пароль" і здивовано побачив, що цей урядовий веб-сайт надіслав свій пароль на свою електронну адресу в простому тексті.
Мені особисто відомо, як обробляти паролі користувачів, і я надсилав кілька коментарів щодо своїх проблем через форму зворотного зв’язку (це урядовий веб-сайт. Люди користуються іншими службами в Інтернеті, які займаються конфіденційною інформацією, а також тим, що більшість людей використовують один і той же пароль або ж кілька паролів для всього (я знаю, що це роблю), і я підозрюю, що однакові практики безпеки використовуються протягом усього часу), на що я отримав швидку відповідь. Вони просто заспокоїли мене, що "Міністерство вжило необхідних заходів для захисту інформації про паролі, включаючи збереження їх із належними шифрами на місці".
Я хотів би просто сказати: "Очевидно, ви не зробили необхідних заходів, якщо ви можете надіслати мені свій пароль", але я не намагаюся бути грубим, і не думаю, що моє повідомлення ніколи не буде дотягнутися до когось, хто все одно знає, що я маю на увазі.
Тож я хотів би лише зазначити, що "не було вжито необхідних заходів відповідно до [якогось офіційного стандарту безпеки]", який може спонукати когось заглянути. Я швидко здійснив пошук на OWASP, але знайшов лише статтю щодо простого зберігання.
Чи існує стандарт безпеки щодо обробки паролем користувача, який забороняє (як я думаю, це, мабуть,) зберігати інформацію про пароль, що можна отримати? Ще краще: чи існує такий стандарт, якого повинні дотримуватися веб-сайти, що займаються конфіденційною інформацією, такі як банки та державні веб-служби?
Я знаю, що, ймовірно, нічого не зміню, але варто зняти ІМО.