Niedawno skorzystałem z usługi rządowej, z której miałem konto od lat temu. Nie mogłem zapamiętać mojego hasła do usługi, więc skorzystałem z linku „zapomniałem hasła” i byłem zaskoczony, że ta rządowa witryna wysłała moje hasło na mój adres e-mail zwykłym tekstem.
Jestem osobiście świadomy tego, jak radzić sobie z hasłami użytkowników, i wysłałem kilka uwag na temat moich obaw za pośrednictwem formularza opinii (jest to strona rządowa. Ludzie korzystają z innych internetowych usług rządowych, które zajmują się poufnymi informacjami, a także fakt, że większość ludzi używa tego samego hasła lub garści haseł do wszystkiego (wiem, że to robię) i podejrzewam, że stosowane są te same praktyki bezpieczeństwa), na co otrzymałem szybką odpowiedź. Po prostu uspokoili mnie, że „Ministerstwo podjęło niezbędne kroki w celu ochrony informacji o haśle, w tym przechowuje je z odpowiednimi szyframi”.
Chciałbym tylko powiedzieć „oczywiście, że nie podjąłeś niezbędnych kroków, jeśli możesz przesłać mi hasło pocztą e-mail”, ale nie staram się być niegrzeczny i nie sądzę, aby moja wiadomość kiedykolwiek i tak dotrzeć do kogoś, kto wie o co mi chodzi.
Chciałbym więc tylko powiedzieć, że „nie podjęto niezbędnych kroków zgodnie z [jakimś oficjalnym standardem bezpieczeństwa]”, co może skłonić kogoś do przyjrzenia się temu. Zrobiłem szybkie wyszukiwanie w OWASP, ale znalazłem tylko artykuł dotyczący przechowywania zwykłego tekstu.
Czy istnieje standard bezpieczeństwa dotyczący obsługi haseł użytkowników, który zabrania (jak sądzę, że prawdopodobnie by to zrobił) przechowywania informacji o hasłach możliwych do odzyskania? Jeszcze lepiej: czy istnieje taki standard, którego muszą przestrzegać strony internetowe zajmujące się poufnymi informacjami, takimi jak banki i rządowe usługi internetowe?
Wiem, że prawdopodobnie nic nie zmienię, ale warto spróbować IMO.