Недавно я использовал государственную службу, на которую у меня был аккаунт много лет назад. Я не мог вспомнить свой пароль для службы, поэтому я использовал ссылку «забыл пароль» и был удивлен, увидев, что этот правительственный веб-сайт отправил мой пароль на мой адрес электронной почты в виде простого текста.
Я лично знаю, как обращаться с паролями пользователей, и я отправил некоторые комментарии о своих проблемах через форму обратной связи (это правительственный веб-сайт. Люди используют другие онлайн-сервисы, которые занимаются конфиденциальной информацией, а также тот факт, что большинство людей используют один и тот же пароль или несколько паролей для всего (я знаю, что я делаю), и я подозреваю, что везде используются одни и те же методы безопасности), на что я получил быстрый ответ. Они просто заверили меня, что «министерство предприняло необходимые шаги для защиты информации о паролях, включая хранение их с надлежащим шифрованием на месте».
Я хотел бы просто сказать: «Ну, очевидно, вы не предприняли необходимых шагов, если сможете отправить мне мой пароль по электронной почте», но я не пытаюсь быть грубым и не думаю, что мое сообщение когда-либо в любом случае достигни кого-нибудь, кто знает, что я имею в виду.
Поэтому я хотел бы просто заявить, что «необходимые шаги не были предприняты в соответствии с [каким-либо официальным стандартом безопасности]», что может подтолкнуть кого-то к его изучению. Я сделал быстрый поиск по OWASP, но нашел только статью о хранении открытого текста.
Существует ли какой-либо стандарт безопасности в отношении обработки паролей пользователей, который запрещает (как мне кажется, вероятно) хранение извлекаемой информации о пароле? Еще лучше: существует ли такой стандарт, которому должны следовать сайты, работающие с конфиденциальной информацией, такие как банки и правительственные веб-службы?
Я знаю, что, вероятно, ничего не изменится, но стоит попробовать IMO.