사용자 비밀번호 저장 방법에 관한 공식 표준이 있습니까?


17

나는 최근 몇 년 전부터 계정을 가지고있는 정부 서비스를 사용했습니다. 서비스 비밀번호를 잊어 버렸기 때문에 "비밀번호를 잊어 버렸습니다"링크를 사용하여이 정부 웹 사이트에서 내 비밀번호를 일반 텍스트로 내 이메일 주소로 보냈 음을 알게되었습니다.

본인은 사용자 비밀번호를 처리하는 방법을 개인적으로 알고 있으며 피드백 양식을 통해 내 우려 사항에 대한 의견을 보냈습니다 (정부 웹 사이트입니다. 대부분의 사람들은 모든 것을 위해 동일한 암호 또는 소수의 암호를 사용하고 (내가 알고 있음) 나는 동일한 응답을 통해 동일한 보안 관행이 사용된다고 생각합니다. 그들은 단순히 "부처가 암호 정보를 적절히 암호화하여 저장하는 것을 포함하여 암호 정보를 보호하기 위해 필요한 조치를 취했다"고 안심시켜주었습니다.

"암호를 나에게 이메일로 보낼 수 있다면 분명히 필요한 조치를 취하지 않았다"고 말하고 싶지만 무례하지 않고 내 메시지가 어쨌든 내가 무슨 뜻인지 아는 사람에게 연락하십시오.

그래서 나는 "[일부 공식 보안 표준]에 따라 필요한 조치가 취해지지 않았다"고 말하고 싶습니다. OWASP에서 빠른 검색을 수행했지만 일반 텍스트 저장소에 관한 기사 만 찾았습니다.

검색 가능한 비밀번호 정보의 저장을 금지하는 사용자 비밀번호 처리에 관한 보안 표준이 있습니까? 더 나은 : 같은 표준이 있어야 은행과 정부의 웹 서비스와 같은 민감한 정보를 다루는 웹 사이트에서 다음 수는?

나는 아마 아무것도 바꾸지 않을 것이지만 샷 IMO의 가치가 있다는 것을 알고 있습니다.


약 1 년 전에 VMWare에서 같은 것을 얻었지만 비밀번호를 잊어 버린 것은 아닙니다. 방금 등록한 후 방금 입력 한 비밀번호를 알고 일반 텍스트로 나에게 이메일을 보냈습니다. 고마워, 나는 이미 알고 있었다!
thursdaysgeek

롤 끔찍하다. 사람들이 그렇게하지 않기를 바랍니다.
카슨 마이어스

당신이 묻는 것은 실제로 당신의 나라의 법에 달려 있습니다. 우리는 모두 알고 이 아웃, 정말 선택적으로 적용 주문하는 법이있다 그러나하지 않는 한, 가장 좋은 방법은 충돌 방지 알고리즘을 사용하여 소금에 절인 하나의 방법 해시를 저장하는 것입니다. 그러나 인적 자원 관리와 관련하여 ISO를 파헤 치면 '공식적인'것처럼 보일 수 있습니다.
Tim Post

@Tim 감사합니다, 나는 그것이 국가에 의존 할 것이라고 생각하지 않았다고 생각합니다.
카슨 마이어스

답변:


5

글쎄, 서사시 스레드 /programming/2283937/how-should-i-ethically-approach-user-password-storage-for-later-plaintext-retriev 는 분명히이 문제에 대해 많은 것을 말하고 있습니다.

잠재적으로 관심사와 관련이 있습니다.

-1 암호는 "암호화"해서는 안됩니다. CWE-257 cwe.mitre.org/data/definitions/257.html – Rook Feb 17 '10 at 21:52


난 당신이 :-) 개인 키를 실수로 분실 있는지 확인하십시오 당신이 긴 등의 공개 / 개인 키 쌍을 암호화 할 수 있습니다 가정
gnasher729
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.