나는 최근 몇 년 전부터 계정을 가지고있는 정부 서비스를 사용했습니다. 서비스 비밀번호를 잊어 버렸기 때문에 "비밀번호를 잊어 버렸습니다"링크를 사용하여이 정부 웹 사이트에서 내 비밀번호를 일반 텍스트로 내 이메일 주소로 보냈 음을 알게되었습니다.
본인은 사용자 비밀번호를 처리하는 방법을 개인적으로 알고 있으며 피드백 양식을 통해 내 우려 사항에 대한 의견을 보냈습니다 (정부 웹 사이트입니다. 대부분의 사람들은 모든 것을 위해 동일한 암호 또는 소수의 암호를 사용하고 (내가 알고 있음) 나는 동일한 응답을 통해 동일한 보안 관행이 사용된다고 생각합니다. 그들은 단순히 "부처가 암호 정보를 적절히 암호화하여 저장하는 것을 포함하여 암호 정보를 보호하기 위해 필요한 조치를 취했다"고 안심시켜주었습니다.
"암호를 나에게 이메일로 보낼 수 있다면 분명히 필요한 조치를 취하지 않았다"고 말하고 싶지만 무례하지 않고 내 메시지가 어쨌든 내가 무슨 뜻인지 아는 사람에게 연락하십시오.
그래서 나는 "[일부 공식 보안 표준]에 따라 필요한 조치가 취해지지 않았다"고 말하고 싶습니다. OWASP에서 빠른 검색을 수행했지만 일반 텍스트 저장소에 관한 기사 만 찾았습니다.
검색 가능한 비밀번호 정보의 저장을 금지하는 사용자 비밀번호 처리에 관한 보안 표준이 있습니까? 더 나은 : 같은 표준이 있어야 은행과 정부의 웹 서비스와 같은 민감한 정보를 다루는 웹 사이트에서 다음 수는?
나는 아마 아무것도 바꾸지 않을 것이지만 샷 IMO의 가치가 있다는 것을 알고 있습니다.