Законно ли (в США и ЕС) хранить пароли пользователей в открытом виде (например, на веб-сайте)? Есть ли закон о том, как следует хранить пароли?
У меня есть клиент, который желает, чтобы пароли хранились в открытом виде, чтобы пользователь мог восстановить свой пароль, если он забыл, что я не хочу.
Я пытаюсь убедить своего клиента, что хранить пароли в открытом виде - очень плохая практика.
Предоставьте ссылки на любые законы, политики или стандарты, которые я могу использовать, чтобы убедить их.
Я не думаю, что вы найдете какой-либо всеобъемлющий закон, который применяется повсюду, и я не думаю, что вы найдете что-либо, что конкретно описывает, как хранить пароль.
Существует большое количество стандартов, относящихся к вопросам безопасности отдельных областей и видов услуг. Большинство этих стандартов включают некоторую информацию о том, как учетные данные аутентификации должны храниться и храниться в безопасности. Несоблюдение этих стандартов может привести к юридическим проблемам.
Основная директива в ЕС известна как «Директива о защите данных». Государства-члены реализуют свои собственные законы, которые должны соответствовать этой директиве. Он похож на стандарт PCI в том, что он расплывчатый и многословный. Однако есть семь общих принципов, которые в основном являются здравым смыслом. Тот, который может вас заинтересовать, - это №4:
Безопасность - собранные данные должны быть защищены от любых потенциальных злоупотреблений;
И статья 17:
Статья 17 - Безопасность обработки
«Принимая во внимание уровень развития техники и стоимость их реализации, такие меры должны обеспечивать уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру данных, которые необходимо защитить». ... (остаток опущен).
http://en.wikipedia.org/wiki/Data_Protection_Directive
Сайт ЕС: (удачи в навигации)
http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Я не думаю, что практика хранения паролей в виде открытого текста будет приемлемой в ЕС, потому что: реализация хэша пароля тривиальна и не увеличивает затрат; это противоречит общепринятым правилам безопасности; и это почти наверняка не приведет к внешнему аудиту, так как существует вероятность злоупотребления, если пароли будут раскрыты, и у вас нет возможности подтвердить, что человек, использующий пароль, является тем, кем он себя называет (т.е. вы используете пароли только для аутентификации и нет второго фактора).
Для облегчения торговли США и ЕС заключили соглашение о «безопасной гавани», которое позволяет американским компаниям собирать данные от граждан ЕС при условии, что они «самостоятельно удостоверяют» в Министерстве торговли США, что оно соответствует семи принципам.
Программа Safe Harbor между ЕС и США не защищает американские компании, применяющие небезопасную политику конфиденциальности:
IANAL, но я не думаю, что есть закон, который предписывал бы вам это делать. Он также может сильно различаться в зависимости от типа данных. Это очень плохая практика и угроза безопасности.
Будьте очень осторожны с юридическими вопросами на этих сайтах. Вы не представляете, кто на самом деле знает закон, а кто нет. По любым серьезным вопросам, зависящим от вашей организации, вам следует проконсультироваться по этим вопросам с настоящим юристом.
Я только что закончил читать Белая книга IDC у которого были некоторые интересные точки зрения на хранение данных о пользователях в ЕС.
Что можно и что нельзя делать с данными сотрудников, варьируется от штата к штату США. Например, CMR 17 в Массачусетсе накладывает ряд ограничений на то, как вы обрабатываете данные о сотрудниках. Этот закон был принят, чтобы уменьшить количество краж личных данных.
Проблема с паролями, особенно когда имеешь дело с людьми, которые не знают или не заботятся о безопасности, заключается в том, что они часто используют один и тот же пароль для всех своих учетных записей. Так что любая публикация или утечка информации может поставить под угрозу этих людей или бизнес.
В США:
Да, в зависимости от того, чем занимается клиент, может быть закон. Любой клиент, который имеет дело (это всего лишь примеры, ни в коем случае не полный список) онлайн-обработки платежей, информации о кредитных картах, медицинской / медицинской информации, страховки, банковского дела / акций / торговли и т. Д., Вероятно, имеет законы, регулирующие хранение и доступ к информации о клиенте / клиенте / пациенте и, следовательно, к паролям, которые защищают эту информацию.
потому что иногда мне приходится отговаривать клиентов, которые не заботятся о безопасности
Не звучит слишком резко, это звучит как очень плохая практика безопасности, очень плохая практика SA и совершенно неэтично. Если вы не знакомы с ним, прочтите Кодекс этики системных администраторов. Почему вы должны изо всех сил стараться, чтобы данные клиента были скомпрометированы, особенно когда они ваш клиент, Я не понимаю.
Я провел много поздних ночей - как на своей основной работе, так и на работе с клиентами - исправляя проблемы безопасности без сверхурочных, просто потому, что это был мой компьютер или мой клиент, и, следовательно, я обязан обеспечить безопасность всего.
как мне убедить моего клиента не быть идиотом и хранить пароли в открытом виде:
Кроме того, просто откажитесь что-либо делать с паролями в виде открытого текста и предложите им альтернативы.
(IANAL)
Обращаясь за юридической консультацией, вы захотите попросить кого-нибудь квалифицированного дать юридическую консультацию (а это, вероятно, никто на этом форуме). Итак ... Я задам вопрос компьютерщику: какого черта вы хотите это сделать? Это просто напрашивается на неприятности.