Законно ли (США и ЕС) хранить пароли пользователей в открытом виде (например, на веб-сайте)? Есть ли какой-либо закон о том, как должны храниться пароли?
У меня есть клиент, который желает, чтобы пароли хранились в открытом виде, чтобы пользователь мог восстановить свой пароль, когда они забыли, что я хочу отговорить.
Я пытаюсь убедить своего клиента, что хранить пароли в открытом виде - очень плохая практика.
Пожалуйста, предоставьте ссылки на любые законы, политики или стандарты, которые я могу использовать, чтобы убедить их.
Я не думаю, что Вы найдете любой весь закон о затрагивании, который применяется везде, и я не думаю, что Вы найдете что-либо, что описывает конкретно, как сохранить пароль.
Существует большое количество стандартов, связанных с проблемами безопасности конкретные поля и типы сервисов. Большинство этих стандартов включает некоторую информацию о том, как учетные данные аутентификации, как предполагается, сохранены и сохранены безопасными. Отказ следовать этим стандартам может привести к правовым проблемам.
Основная директива в ЕС известна как "Директива Защиты данных". Государства-члены реализуют свои собственные законы, которые, как ожидают, будут согласовываться с директивой. Это подобно стандарту PCI, в котором это является неопределенным и подробным. Однако существует семь общих принципов, которые являются главным образом здравым смыслом. Тот, который может представлять интерес для Вас, является № 4:
Безопасность — собранные данные должны быть сохранены безопасными от любых потенциальных злоупотреблений;
И статья 17:
Статья 17 - безопасность обработки
"Учитывая состояние и стоимость их реализации, такие меры должны гарантировать уровень безопасности, соответствующей рискам, представленным обработкой и природой данных, которые будут защищены".... (игнорируемый остаток).
http://en.wikipedia.org/wiki/Data_Protection_Directive
Сайт ЕС: (удача, перемещающаяся по этому)
http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Я не думаю, что практика хранения паролей в открытом тексте была бы приемлема в ЕС, потому что: реализация хэша пароля тривиальна и не увеличивает затраты; это противоречит общепринятым лучшим практикам безопасности; и это почти наверняка привело бы внешний аудит к сбою, поскольку существует потенциал для злоупотребления, если пароли были раскрыты, и у Вас нет способа проверить человека, использующего пароль, то, кем они утверждают, что были (т.е. Вы только используете пароли для аутентификации и никакого второго фактора).
Для упрощения коммерции США и ЕС имеют "безопасную гавань" соглашение, которое позволяет американским компаниям собирать данные от граждан ЕС, пока они "самосертифицируют" с американским Министерством торговли, что это выполняет семь принципов.
ЕС-США безопасная гавань не защищает американские компании с небезопасными методами конфиденциальности:
IANAL, но я не думаю, что существует любой закон, говоря, что Вы имеете к. Это могло также варьироваться много в зависимости от того, какие данные это. Это - очень плохая практика и угроза безопасности.
Будьте очень осторожны с легальными вопросами на этих сайтах. Вы понятия не имеете, кто действительно знает закон и нет. С любыми главными проблемами в зависимости от Вашей организации необходимо консультироваться с настоящим адвокатом относительно этих проблем.
Я только что закончил читать Техническую газету IDC, которая имела некоторые интересные точки зрения на пользовательское устройство хранения данных детали в ЕС.
То, что Вы можете и не можете сделать с данными сотрудника, варьируется в зависимости от государства по США. Например, CMR 17 в Массачусетсе ставит набор ограничений, как Вы обрабатываете данные сотрудника. Этот закон был помещен на месте, чтобы помочь уменьшить кражу идентификатора.
Проблема с паролями, особенно при контакте с людьми, которые не знают или хотят знать много о безопасности, состоит в том, что они будут часто использовать тот же пароль для всех своих учетных записей. Таким образом, любая публикация или утечка тех могли подвергнуть опасности тех людей или бизнес.
В США:
Да, в зависимости от того, в чем находится направление деятельности клиент, может быть закон. Любой клиент, который имеет дело с (это просто примеры, ни в коем случае не является этим полный список), обработка онлайн-платежей, данные кредитной карты, информация о здоровье / медицинская информация, страховка, банковское дело/запасы/торговля, и т.д. вероятно, имеет законы, которые касаются устройства хранения данных и доступа клиентского/клиента/пациента информации и поэтому паролей, которые защищают ту информацию.
потому что seomtimes, я должен обескуражить клиенты, которые не заботятся о безопасности
Не звуча слишком резким, это походит на очень плохую практику безопасности, очень плохую практику SA, и совершенно неэтичный. Если Вы не знакомы с ним, прочитайте Кодекс поведения Системных администраторов. Почему Вы старались бы изо всех сил удостоверяться, что данные клиента поставлены под угрозу - особенно, когда они - Ваш клиент, я не понимаю.
Я провел много последних ночей - и в моем дневном задании и в работающий на клиенты - устраняющий проблемы безопасности без сверхурочного времени, просто потому что это была моя машина или мой клиент и поэтому моя обязанность гарантировать, что все безопасно.
как делают я убеждаю свой клиент не быть идиотом и паролями хранилища в ясном:
Кроме того, просто откажитесь делать что-либо с незашифрованными паролями и предлагать им альтернативы.
(IANAL)
При просьбе юридическую консультацию Вы захотите попросить, чтобы кто-то квалифицировал для предоставления юридической консультации (который никто не вероятен на этом форуме). Так... Я задам вопрос фаната безопасности: Почему heck Вы хотели бы сделать это? Это просто напрашивается на неприятности.