¿Hay alguna razón legal para guardar una contraseña de texto simple?

La única instancia en la que puedo pensar que la FCC requiere que la contraseña sea clara está relacionada con la radioafición, e incluso ese no es el caso.

En seis años en una firma de auditoría, y en todo lo que he leído, incluidas muchas sesiones informativas en el tribunal, nunca he oído nada que insinúe que tal locura esté justificada en cualquier parte.

No es raro que los CSR hagan un poco de ingeniería social. Su trabajo a menudo es mucho más fácil si dicen que es requerido por algo que está fuera de su empresa.

La BBC tiene un artículo sobre grandes compañías que desafían al gobierno francés sobre una nueva ley que exige que se entreguen Contraseñas para la aplicación de la ley bajo demanda.

El gobierno luego afirmó que es suficiente para proporcionar otras credenciales que permitan el acceso a la cuenta en cuestión. (Lo siento, no puedo encontrar una fuente en inglés para esto en este momento, sin dedicarle más tiempo).

Es común que los proveedores de servicios de Internet almacenen las contraseñas en texto sin cifrar como expliqué en esta respuesta por las razones técnicas de los protocolos antiguos compatibles.

No lo sé. Confieso que mi primera suposición sería una tontería o una mala interpretación de la ley.

En mi experiencia, no es infrecuente que las empresas con políticas tontas culpen de esas políticas a la seguridad o al gobierno federal. A veces las personas actúan de buena fe y están confundidas acerca de lo que realmente exige la ley o la seguridad. A veces es una excusa calculada para hacer que los clientes se callen y desvíen las quejas.

(Incluso puede ver esto en aviones, donde los operadores de aviones le pedirán que haga todo tipo de cosas en nombre de la seguridad (por ejemplo, "por seguridad, solo use el lavabo en su cabina con boleto"), cuando haya en realidad no hay una regulación gubernamental o una justificación de seguridad razonable que lo exija.)

Por supuesto, podría haber alguna regulación estúpida que requiera esto, pero soy bastante escéptico.

Intentaría obtener una cita de la ley o regulación específica (no solo "tiene que ver con CPNI"). También puede intentar pedir el nombre de la agencia gubernamental que dice que emite esas regulaciones, luego llamar a esa agencia para preguntarles si es algo que necesitan y pedirles una cita y una copia de la regulación. En mi experiencia, si soy capaz de ver la regulación real, no es raro encontrar que en realidad no requiere lo que la gente piensa o dice que hace.

No estoy calificado para ofrecer asesoramiento legal. Si necesita asistencia legal, consulte con un profesional apropiado.

Interpretación de EPIC de 222. La privacidad de la información del cliente parece indicar que una contraseña no forma parte de la información de red propietaria del Cliente (CPNI).

  

(h)

     

(1) El término "información de red propiedad del cliente" significa:

     

(A) información relacionada con la cantidad, la configuración técnica, el tipo, el destino, la ubicación y la cantidad de uso de un servicio de telecomunicaciones suscrito por cualquier cliente de un proveedor de telecomunicaciones, y que se pone a disposición del operador por parte de cliente únicamente en virtud de la relación portadora-cliente; y

     

(B) la información contenida en las facturas relacionadas con el servicio de intercambio telefónico o el servicio de llamadas telefónicas recibidas por un cliente de una empresa de transportes;

Supongo que su contraseña no está impresa en su factura, por lo que descarta la parte B.

No puedo entender cómo se relaciona una contraseña con un servicio de telecomunicaciones, excepto para proporcionar seguridad a la información que describe ese servicio, por lo que parece que no hay ninguna parte A.

La explicación de la compañía es incorrecta

Solía trabajar para una empresa de telecomunicaciones, y eso es completamente incorrecto.

En primer lugar, sí, están obligados a autenticarlo de alguna manera. Eso es cierto.

La empresa de telecomunicaciones puede enfrentar sanciones severas por la divulgación de CPNI sin autenticar a la persona que llama o al usuario del sitio web correctamente. Estamos hablando de miles de dólares por violación.

Un camino correcto y un camino incorrecto

Sin embargo, no hay razón para mostrar su contraseña web en texto sin cifrar. Hay muchas maneras de autenticar a las personas que llaman sin una contraseña, e incluso si eligen usar un PIN / contraseña visible, no debe ser la misma contraseña que se usa para acceder a los portales web, correo electrónico, etc.

Explicación alternativa posible

Ya sea que hayan tomado una decisión de seguridad terrible en su intento de cumplir con la ley, o bien usted proporcionó por error la misma contraseña tanto para el acceso al portal web como para la administración de la cuenta.

Para ver dónde se cometió el error, simplemente cambie su contraseña web. Si el agente ve esta nueva contraseña la próxima vez que llame, entonces la compañía ha cometido un gran error. Esto solo sería un lapso de seguridad, sin embargo, no una violación de la ley.

Para expandir en La respuesta de DW en una dirección ligeramente diferente, podría ser que se trata de una interpretación defectuosa diseñada para "cubrir todas las bases" y / o la interpretación de un requisito vago / engañoso que creen que se cubrirán por completo. como puedan.

Trabajo en Salud, específicamente en el departamento de Educación para un sistema de salud moderadamente grande, y he visto algunos "requisitos" de educación realmente estúpidos en mi escritorio para cualquiera o ambos de los anteriores. Por lo general, hay una interpretación mucho más razonable que cumple con todos los requisitos establecidos en el reglamento o la certificación, pero algunas personas simplemente no están satisfechas si no es la interpretación más complicada y / o absurda.