¿Utiliza un algoritmo de hash desconocido para las contraseñas y cumple con PCI?

4

¿Necesitamos saber qué algoritmo de hash se emplea para proteger las contraseñas en reposo con respecto al Requisito 8.2.1 de PCI DSS?

Estamos utilizando un punto de acceso inalámbrico (Yamaha WLX302) en la rama de desarrollo de nuestra división de servicios de pago.

Tiene una consola de administración protegida por contraseña donde la contraseña está encriptada (o encriptada, no podemos decirlo) en reposo. De acuerdo con el Requisito 8.2.1 de PCI DSS, estamos obligados a verificar que las contraseñas se vuelvan ilegibles durante la transmisión o el almacenamiento.

Nuestro QSA insistió en que teníamos que identificar el algoritmo de cifrado / hash , pero como el manual no decía nada sobre el algoritmo y los hashes de contraseña estaban completamente ocultos de la consola * 1 , le preguntamos al proveedor qué algoritmo se utilizó para almacenar de forma segura la contraseña del administrador. El proveedor no aceptó revelar el algoritmo en uso.

Entonces, las preguntas son:

  1. ¿Realmente necesitamos identificar el algoritmo hash de las contraseñas para ser compatibles con PCI?
  2. ¿Podemos seguir siendo compatibles con PCI sin un acceso administrativo a los hashes de contraseña?
    2.1. Ya que no podemos ver las contraseñas / hashes, no podemos saber si están correctamente hash * 2 . ¿Estamos todavía cubiertos?

* 1: Esto evita que incluso el administrador vea las contraseñas con hash, por lo que no tenemos la menor idea de en qué formato están las contraseñas. Por lo tanto, son ilegibles , creo.

* 2: al menos podemos indicar a través del comando de la consola que cifre las contraseñas en reposo, pero ¿qué pasa si hay un error de seguridad que todas las contraseñas se almacenan en texto sin formato, independientemente de la configuración?

    
pregunta Christopher Smith 22.05.2017 - 11:40
fuente

1 respuesta

3

La frase clave en 8.2.1 es 'Criptografía fuerte', que se define en el glosario como:

  

Criptografía basada en algoritmos probados y aceptados en la industria, junto con   con fuertes longitudes de clave (mínimo 112 bits de intensidad de clave efectiva)   y prácticas adecuadas de gestión de claves. La criptografía es un método para   proteger los datos e incluye tanto el cifrado (que es reversible) y   hashing (que no es reversible, o "de una manera"). Ver Hashing En el   Tiempo de publicación, ejemplos de probados y aceptados en la industria.   Los estándares y algoritmos incluyen AES (128 bits y más), TDES / TDEA   (claves de triple longitud), RSA (2048 bits y más), ECC (224 bits y   superior) y DSA / D-H (2048/224 bits y superior). Ver NIST Especial   Publicación 800-57 Parte 1 ( enlace ) para   más orientación sobre las fortalezas y algoritmos de claves criptográficas.

Mi consejo sería copiar esta definición y preguntar al fabricante si el almacenamiento de contraseñas cumple con esta definición de criptografía fuerte o la definición de hashing (también en el glosario). Si el fabricante dice que sí, su QSA tiene para estar satisfecho.

Si la respuesta es no (y si el fabricante se niega a responder, puede asumir que eso significa que no), entonces probablemente tendrá que ver los controles de compensación o evidencia de que el almacén de contraseñas en sí no es accesible (o lamenta su compra). ) o una segmentación adicional de tal manera que un compromiso de la base de datos de contraseñas no tendría ningún efecto en la seguridad del CDE.

    
respondido por el withoutfire 24.05.2017 - 12:00
fuente

Lea otras preguntas en las etiquetas