¿Existe un estándar oficial con respecto a las prácticas de almacenamiento de contraseña de usuario?

17

Recientemente utilicé un servicio gubernamental del que tenía una cuenta desde hace años. No podía recordar mi contraseña para el servicio, así que utilicé el enlace "Olvidé mi contraseña" y me sorprendió ver que este sitio web del gobierno envió mi contraseña a mi dirección de correo electrónico en texto sin formato.

Personalmente, sé cómo manejar las contraseñas de los usuarios, y envié algunos comentarios sobre mis inquietudes a través de un formulario de comentarios (este es un sitio web del gobierno. La gente usa otros servicios gubernamentales en línea que tratan información confidencial, así como el hecho de que la mayoría de las personas usan la misma contraseña o un puñado de contraseñas para todo (sé que lo hago) y sospecho que se usan las mismas prácticas de seguridad en todo momento, para lo cual obtuve una respuesta inmediata. Simplemente me aseguraron que "el Ministerio ha tomado las medidas necesarias para proteger la información de la contraseña, incluido el almacenamiento con los cifrados adecuados".

Me gustaría decir "bueno, obviamente, no has tomado los pasos necesarios si puedes enviarme mi contraseña por correo electrónico", pero no estoy tratando de ser grosero, y no creo que mi mensaje alguna vez llegar a alguien que sepa lo que quiero decir de todos modos.

Por lo tanto, me gustaría decir que "no se han tomado los pasos necesarios de acuerdo con [algún estándar de seguridad oficial]", lo que podría incitar a alguien a investigarlo. Hice una búsqueda rápida en OWASP pero solo encontré un artículo sobre el almacenamiento de texto sin formato.

¿Existe un estándar de seguridad con respecto al manejo de la contraseña del usuario que prohíba (como creo que probablemente lo haría) el almacenamiento de información de contraseña recuperable? Mejor aún: ¿existe un estándar de este tipo que deben seguir los sitios web que se ocupan de información confidencial, como bancos y servicios web gubernamentales?

Sé que probablemente no cambiaré nada, pero vale la pena intentarlo.

security standards passwords Carson Myers
fuente
Obtuve lo mismo de VMWare hace aproximadamente un año, pero no porque haya olvidado mi contraseña. Acababa de registrarme y sabía la contraseña que acababa de ingresar, y me la enviaron por correo electrónico en texto sin formato. ¡Gracias, ya lo sabía!
thursdaysgeek
jajaja eso es horrible Desearía que la gente dejara de hacer eso.
Carson Myers
Lo que estás preguntando realmente depende de la legislación de tu país. Todos sabemos que la mejor práctica es almacenar un hash unidireccional salado usando un algoritmo a prueba de colisión, sin embargo, a menos que haya una ley que lo explique, realmente se aplica de forma selectiva. Sospecho, sin embargo, que podrías encontrar algo que se vea 'oficial' si profundizas en ISO con respecto a la gestión de recursos humanos.
Tim Post
@ Gracias, supongo que no pensé que dependería del país.
Carson Myers

Respuestas:

5

Bueno, el hilo épico /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev ciertamente tiene mucho que decir sobre el tema.

Potencialmente relevante para sus intereses:

-1 las contraseñas nunca deben "encriptarse" Es una violación de CWE-257 cwe.mitre.org/data/definitions/257.html - Rook 17 de febrero de 2010 a las 21:52

Puntilla
fuente
Supongo que puede cifrarlos con un par de claves pública / privada, siempre y cuando se asegure de que la clave privada se pierda por accidente :-)
gnasher729