¿Necesitamos saber qué algoritmo de hash se emplea para proteger las contraseñas en reposo con respecto al Requisito 8.2.1 de PCI DSS?
Estamos utilizando un punto de acceso inalámbrico (Yamaha WLX302) en la rama de desarrollo de nuestra división de servicios de pago.
Tiene una consola de administración protegida por contraseña donde la contraseña está encriptada (o encriptada, no podemos decirlo) en reposo. De acuerdo con el Requisito 8.2.1 de PCI DSS, estamos obligados a verificar que las contraseñas se vuelvan ilegibles durante la transmisión o el almacenamiento.
Nuestro QSA insistió en que teníamos que identificar el algoritmo de cifrado / hash , pero como el manual no decía nada sobre el algoritmo y los hashes de contraseña estaban completamente ocultos de la consola * 1 , le preguntamos al proveedor qué algoritmo se utilizó para almacenar de forma segura la contraseña del administrador. El proveedor no aceptó revelar el algoritmo en uso.
Entonces, las preguntas son:
- ¿Realmente necesitamos identificar el algoritmo hash de las contraseñas para ser compatibles con PCI?
- ¿Podemos seguir siendo compatibles con PCI sin un acceso administrativo a los hashes de contraseña?
2.1. Ya que no podemos ver las contraseñas / hashes, no podemos saber si están correctamente hash * 2 . ¿Estamos todavía cubiertos?
* 1: Esto evita que incluso el administrador vea las contraseñas con hash, por lo que no tenemos la menor idea de en qué formato están las contraseñas. Por lo tanto, son ilegibles , creo.
* 2: al menos podemos indicar a través del comando de la consola que cifre las contraseñas en reposo, pero ¿qué pasa si hay un error de seguridad que todas las contraseñas se almacenan en texto sin formato, independientemente de la configuración?