Referencia de contraseña no segura por correo electrónico

4

Me he encontrado con un sitio que, al pasar por el restablecimiento de la contraseña, me envía mi contraseña anterior por correo electrónico.

Ahora sabemos que esto es inseguro. Veo aquí question y aquí y sin duda otros.

Sin embargo, hay una fuente bien autorizada que dice que esto es malo y que puedo citar a sus servicios de atención al cliente (es decir, las citas de aquí o de un blogger aleatorio no serán lo suficientemente oficiales)

Idealmente como estoy en el Reino Unido, hay algo bajo la ley de protección de datos o de la Comisión de Información que dice esto

    
pregunta Mark 25.08.2013 - 02:03
fuente

2 respuestas

3

Bueno, habría recomendado a los infractores de texto simple pero @razethestray ya lo ha hecho :)

En cuanto a DPA, diría que el lugar obvio donde esta práctica puede no coincidir con sus requisitos es que el principio 7 requiere que

  

Se tomarán las medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de los datos personales.

Desafortunadamente, el DPA no proporciona ninguna información adicional sobre los medios apropiados, lo que es (IMHO) un poco inútil.

Otro es, si están procesando tarjetas de débito o crédito, estarían incumpliendo los requisitos de PCI DSS en el almacenamiento y procesamiento de contraseñas.

    
respondido por el Rоry McCune 25.08.2013 - 09:15
fuente
2

Si siguieras la triste saga de UK Tesco el año pasado, sabrías que cuando las personas no lo entienden, simplemente no lo entienden. Tesco era un delincuente de texto simple que en realidad tuiteó una respuesta diciendo

  

@troyhunt Las contraseñas se almacenan de forma segura. Solo se copian en texto sin formato cuando se pegan automáticamente en un correo de recordatorio de contraseña.

Desde entonces, se ha retuiteado más de 2000 veces.

Más allá de los problemas aparentes en ese tweet, hay muchas personas buenas, incluyendo Troy Hunt , se ofreció para ayudar a Tesco a mejorar sus sistemas. Tesco ni siquiera reconoció que tenían un problema. Incluso convertirse en el niño del póster por falta de idea no parecía hacer que consideraran que estaban haciendo algo mal.

Solo después de que se convirtió en algo de tremendo ridículo y golpear a la prensa tecnológica tomó la iniciativa de algunos comentarios sobre investigación por la Oficina del Comisionado de Información.

Tesco ya no usa las contraseñas de texto sin formato ni las de DM, pero no tenemos ninguna indicación de que vean algún problema con la forma en que almacenan las contraseñas.

Entonces, tal vez pueda señalar la mala prensa que recibió Tesco y sugerir que podrían evitarlo al tratar de comprender por qué tener una contraseña de texto simple es una mala cosa.

Buena suerte.

    
respondido por el Jeffrey Goldberg 25.08.2013 - 21:06
fuente

Lea otras preguntas en las etiquetas