以明文(即网站)存储用户密码是否合法(美国和欧盟)? 是否有任何关于如何存储密码的法律?
我有一个客户,希望密码存储在明确的,所以用户可以恢复他们的密码,当他们忘记了,我想劝阻。
我试图说服我的客户,清楚地存储密码是一个非常糟糕的做法。
请提供我可以用来帮助说服他们的任何法律,政策或标准的链接。
我不认为你会发现任何一个适用于任何地方的法律,我不认为你会find任何具体描述如何存储密码。
关于安全问题的特定领域和types的服务有很多标准。 这些标准中的大多数都包含有关如何authentication凭证应该如何存储和保持安全的信息。 不遵守这些标准可能导致法律问题。
欧盟的主要指令被称为“数据保护指令”。 会员国执行自己的法律,预计将符合指令。 它与PCI标准相似,因为它是模糊而详细的。 但是,有七个基本常识的一般原则。 你可能感兴趣的是#4:
应保证安全收集的数据不受任何可能的滥用;
第17条:
第十七条 – 加工的安全
“考虑到最新的技术水平和实施成本,这些措施应确保适当的安全水平与处理所代表的风险和所保护数据的性质相适应。” …(余下的)
http://en.wikipedia.org/wiki/Data_Protection_Directive
欧盟网站:(祝你好运导航)
http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
我不认为以明文forms存储密码的做法在欧盟是可以接受的,因为:实施密码散列是微不足道的,不会增加成本; 这违背了普遍接受的安全最佳实践; 而且几乎可以肯定是外部审计失败的原因,因为如果密码被泄露,就有可能被滥用,而且你无法validation使用密码的人是他们自称的人(即,你只使用密码进行身份validation没有第二个因素)。
为了便利商业,美国和欧盟有一个“安全港”的协议,允许美国公司从欧盟公民那里收集数据,只要他们与美国商务部“自我authentication”符合七项原则。
欧美安全港不保护美国公司的不安全隐私惯例:
IANAL,但我不认为有任何法律说你必须这样做。 根据数据types的不同,它也可能有很大的差异。 这是非常糟糕的做法和安全风险。
对这些网站的法律问题要非常小心。 你不知道谁真的知道法律,而不是。 由于任何重大问题取决于你的组织,你应该咨询一个真正的律师关于这些问题。
我刚刚阅读了IDC白皮书 ,其中有一些关于欧盟用户详细信息存储的有趣观点。
在美国,你可以做什么,不可以做什么不同的员工数据。 例如马萨诸塞州的CMR 17就如何处理员工数据提出了一些限制。 这项法律已经到位,有助于减less身份盗窃。
密码方面的问题,特别是在处理不了解或关心安全性的人时,通常会在所有账户中使用相同的密码。 因此,任何出版物或泄漏都可能使这些人或企业面临风险。
在美国:
是的,取决于客户所在的行业,可能有法律。 在线支付处理,信用卡信息,健康/医疗信息,保险,银行/股票/交易等任何处理客户(这些仅仅是例子,绝非是完整的清单)可能具有涵盖存储访问客户/客户/患者信息,因此保护这些信息的密码。
因为seomtimes我不得不劝阻那些不关心安全的客户
没有听起来太刺耳,这听起来像是非常糟糕的安全实践,非常糟糕的SA练习,彻头彻尾的不道德。 如果您不熟悉,请阅读系统pipe理员的道德准则 。 为什么你会走出去,以确保客户的数据是妥协的 – 尤其是当他们是你的客户 ,我不明白。
我已经度过了许多深夜 – 无论是我的日常工作还是为客户工作 – 只是因为它是我的机器或我的客户,才解决安全问题,因此我有责任确保一切安全。
我怎么说服我的客户不要成为一个白痴,并在明确存储密码:
此外,只要拒绝做明文密码的任何事情,并为他们提供替代品。
(IANAL)
在寻求法律build议时,您需要询问有资格提供法律build议的人(这个论坛上可能没有人)。 所以…我会问安全怪胎的问题:为什么你会想这样做? 那只是要求麻烦。