Законно ли сохранять пароли пользователей в виде открытого текста? Как я могу убедить своего клиента избегать этого? [закрыто]

Основная директива в ЕС известна как "Директива Защиты данных". Государства-члены реализуют свои собственные законы, которые, как ожидают, будут согласовываться с директивой. Это подобно стандарту PCI, в котором это является неопределенным и подробным. Однако существует семь общих принципов, которые являются главным образом здравым смыслом. Тот, который может представлять интерес для Вас, является № 4:

Безопасность — собранные данные должны быть сохранены безопасными от любых потенциальных злоупотреблений;

И статья 17:

Статья 17 - безопасность обработки

1. "Государства-члены должны обеспечить, что контроллер должен реализовать соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного разрушения или случайной потери, изменения, несанкционированного раскрытия или доступа, в особенности где обработка включает передачу данных по сети, и против всех других незаконных форм обработки.

"Учитывая состояние и стоимость их реализации, такие меры должны гарантировать уровень безопасности, соответствующей рискам, представленным обработкой и природой данных, которые будут защищены".... (игнорируемый остаток).

http://en.wikipedia.org/wiki/Data_Protection_Directive

Сайт ЕС: (удача, перемещающаяся по этому)

http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

Я не думаю, что практика хранения паролей в открытом тексте была бы приемлема в ЕС, потому что: реализация хэша пароля тривиальна и не увеличивает затраты; это противоречит общепринятым лучшим практикам безопасности; и это почти наверняка привело бы внешний аудит к сбою, поскольку существует потенциал для злоупотребления, если пароли были раскрыты, и у Вас нет способа проверить человека, использующего пароль, то, кем они утверждают, что были (т.е. Вы только используете пароли для аутентификации и никакого второго фактора).

Для упрощения коммерции США и ЕС имеют "безопасную гавань" соглашение, которое позволяет американским компаниям собирать данные от граждан ЕС, пока они "самосертифицируют" с американским Министерством торговли, что это выполняет семь принципов.

ЕС-США безопасная гавань не защищает американские компании с небезопасными методами конфиденциальности:

http://writ.news.findlaw.com/ramasastry/20091117.html

IANAL, но я не думаю, что существует любой закон, говоря, что Вы имеете к. Это могло также варьироваться много в зависимости от того, какие данные это. Это - очень плохая практика и угроза безопасности.

Будьте очень осторожны с легальными вопросами на этих сайтах. Вы понятия не имеете, кто действительно знает закон и нет. С любыми главными проблемами в зависимости от Вашей организации необходимо консультироваться с настоящим адвокатом относительно этих проблем.

Я только что закончил читать Техническую газету IDC, которая имела некоторые интересные точки зрения на пользовательское устройство хранения данных детали в ЕС.

То, что Вы можете и не можете сделать с данными сотрудника, варьируется в зависимости от государства по США. Например, CMR 17 в Массачусетсе ставит набор ограничений, как Вы обрабатываете данные сотрудника. Этот закон был помещен на месте, чтобы помочь уменьшить кражу идентификатора.

Проблема с паролями, особенно при контакте с людьми, которые не знают или хотят знать много о безопасности, состоит в том, что они будут часто использовать тот же пароль для всех своих учетных записей. Таким образом, любая публикация или утечка тех могли подвергнуть опасности тех людей или бизнес.

В США:

Да, в зависимости от того, в чем находится направление деятельности клиент, может быть закон. Любой клиент, который имеет дело с (это просто примеры, ни в коем случае не является этим полный список), обработка онлайн-платежей, данные кредитной карты, информация о здоровье / медицинская информация, страховка, банковское дело/запасы/торговля, и т.д. вероятно, имеет законы, которые касаются устройства хранения данных и доступа клиентского/клиента/пациента информации и поэтому паролей, которые защищают ту информацию.

потому что seomtimes, я должен обескуражить клиенты, которые не заботятся о безопасности

Не звуча слишком резким, это походит на очень плохую практику безопасности, очень плохую практику SA, и совершенно неэтичный. Если Вы не знакомы с ним, прочитайте Кодекс поведения Системных администраторов. Почему Вы старались бы изо всех сил удостоверяться, что данные клиента поставлены под угрозу - особенно, когда они - Ваш клиент, я не понимаю.

Я провел много последних ночей - и в моем дневном задании и в работающий на клиенты - устраняющий проблемы безопасности без сверхурочного времени, просто потому что это была моя машина или мой клиент и поэтому моя обязанность гарантировать, что все безопасно.

как делают я убеждаю свой клиент не быть идиотом и паролями хранилища в ясном:

1. спросите его, если он хочет помочь преступникам.
2. спросите его, если он использует другой пароль на каждом веб-сайте.
3. попросите у него его пароля этого банковского счета.
4. Если он не дает его, спросите его почему.
5. объясните ему, что он мог бы подвергнуть опасности банковские счета всех его клиентов, если он хранит пароли в простом тексте, когда утечка данных произойдет, и он будет финансово ответственен из-за грубой небрежности.

Кроме того, просто откажитесь делать что-либо с незашифрованными паролями и предлагать им альтернативы.

(IANAL)

При просьбе юридическую консультацию Вы захотите попросить, чтобы кто-то квалифицировал для предоставления юридической консультации (который никто не вероятен на этом форуме). Так... Я задам вопрос фаната безопасности: Почему heck Вы хотели бы сделать это? Это просто напрашивается на неприятности.