¿Se debe presentar una contraseña en texto sin formato a un usuario (en un sitio web)? ¿Es esto ilegal bajo la ley de protección de datos del Reino Unido? [cerrado]

Question

¿Se debe presentar una contraseña en texto sin formato a un usuario (en un sitio web)? ¿Es esto ilegal bajo la ley de protección de datos del Reino Unido? [cerrado]

#1 de sebastian nielsen (0 votos)
#2 de TTT (0 votos)

2

Hay un sitio web que uso en el trabajo, externo al nuestro. Acaban de presentar a cada empleado su contraseña y nombre de usuario de texto sin formato a través de nuestro sitio web interno que requiere nuestros propios inicios de sesión.

Me preguntaba si esto debería ser viable para una empresa profesional (¿la empresa del sitio web externo o la interna) para almacenar contraseñas de texto sin formato? Y si es así, ¿son procesables bajo cualquier ley con respecto a cómo almacenan las contraseñas?

Lo siento, no conozco la forma en que se deben manejar las contraseñas y la ley con respecto a ellas Gracias de antemano

passwords password-management legal

pregunta user2585111 28.02.2015 - 13:48

fuente

2 respuestas

Lea otras preguntas en las etiquetas passwords password-management legal

¿Puede alguien predecir el alcance de la seguridad en el año 2030? [cerrado] Subdominios específicos del usuario: seguridad de JavaScript

score 0 · Answer 1

No hay ley con respecto a las contraseñas. Solo la ley que existe se aplica a los datos personales, pero una contraseña no es un detalle personal. Como el usuario final a menudo selecciona la contraseña, según la legislación de la UE, esto también contará como consentimiento, por lo que incluso si alguien ingresa los datos personales como su contraseña, contará como consentimiento.

Dependiendo de lo que proteja la contraseña, puede haber normas de seguridad que las leyes reconozcan, por ejemplo, los detalles de la tarjeta de crédito están protegidos por PCI DSS, la información de salud está protegida por HIPAA, etc. También existen leyes de la UE que establecen cómo deben protegerse los datos personales. Esos podrían exigir que las contraseñas no se almacenen de ninguna forma recuperable.

Sin embargo, es una mala práctica mostrar contraseñas como esta. Sin embargo, dependiendo de lo que proteja la contraseña, puede que no importe de todos modos. Un ejemplo es que todas las contraseñas son visibles para un administrador, por lo que un administrador puede iniciar sesión como cualquier usuario. Esta podría ser una forma de resolver que algunos sistemas no tienen capacidades de "Toma de control" donde un administrador puede iniciar sesión "como" cualquier usuario.

Otra forma puede ser que el servicio que está protegido por la contraseña, también esté protegido por cualquier otro medio, como un servidor de seguridad que requiera un acceso VPN antes de permitir el acceso al servicio protegido. Y la protección de contraseña en este servicio no es compatible con soluciones de inicio de sesión único o similares, por qué la Compañía está detrás, simplemente muestra la contraseña para iniciar sesión en este servicio protegido, porque incluso si la contraseña se filtra, es inútil para un atacante. quienes no poseen los otros medios que requieren llegar al servicio protegido (como los detalles de marcado VPN, los certificados y cualquier token OTP).

Si las contraseñas son para estaciones de trabajo en la Compañía en cuestión, y están protegidas físicamente (por ejemplo, para llegar a las salas donde están ubicadas las estaciones de trabajo, se requiere un pase de tarjeta de acceso), entonces no importa si se muestran las contraseñas de todos modos Aún necesitas esa tarjeta de acceso para hacer cualquier daño.

También podría ser que esta contraseña no proteja nada valioso de todos modos, solo quieren una protección liviana en el sitio web para evitar el acceso del público en general, pero la información sigue siendo segura para que el público la vea, pero si alguien la revisa. Sitio web, no se hace daño de todos modos. Ejemplo: Manuales de productos disponibles para los clientes del Producto. Si se filtran, no importa de todos modos.

Haga un juicio si la información en el sitio web interno es confidencial, por ejemplo, "Qué sucede si algún individuo no autorizado accede a este sitio web", y actúe en consecuencia. Si la información es lo suficientemente confidencial, es posible que desee informar esto a algún responsable de seguridad o algo así.

score 0 · Answer 2

Ciertamente, no es ilegal almacenar o mostrar contraseñas de texto sin formato en general. Hay algunas mejores prácticas que deben ser consideradas. Por ejemplo, si se puede acceder al sitio web a través de Internet, se debe usar SSL en cualquier momento en que se muestre una contraseña. Incluso para sitios internos, esta es una buena idea. Si se muestran las contraseñas, eso significa que se comienzan a almacenar en algún lugar y no se han modificado. Independientemente de si las contraseñas se almacenan en texto sin formato o cifradas, esto es una mala práctica si los usuarios crean las contraseñas. Si no son creados por el usuario, posiblemente esté bien hacerlo.

Personalmente uso la siguiente regla en todos mis sitios web:

Todas las contraseñas deben estar truncadas y no ser recuperables a menos que se cumplan todas las reglas siguientes:

El usuario no debe crear las contraseñas. (Esto es lo más importante.)
Las cosas que protegen las contraseñas no deberían ser importantes. (No puede ser costoso o peligroso si las contraseñas están comprometidas).
Debería ser fácil para el propietario / operador del sitio web cambiar las contraseñas en cualquier momento y no tener un efecto drástico en nadie.
El sitio usa ssl cuando muestra las contraseñas a los usuarios.

En su caso, si alguna de esas reglas no se cumple, consideraría realizar un cambio. Si el # 1 no se cumple, definitivamente haría un cambio, y lo antes posible. Lo último que desea es que alguien use la misma contraseña que su inicio de sesión en el banco y que esa contraseña se vea comprometida.