¿Es legal almacenar / registrar contraseñas mal escritas?
¿Cuántos de ustedes han visto que esto suceda en un archivo de registro o DB?
No creo que "legal" sea el término correcto para usar.
No es prudente, muchas veces la contraseña "correcta" es solo una letra diferente de la contraseña "incorrecta" (typo / mayúsculas / ...). Entonces, si alguien malvado obtiene este registro, puede fácilmente adivinar la contraseña correcta.
Otro problema es que las personas reutilizan las contraseñas, por lo que usan la misma contraseña para su sitio / gmail / facebook / bank. Por lo tanto, incluso si su sitio no tiene información confidencial acerca de los usuarios, es muy posible que obtener las credenciales de los usuarios en su sitio le permita al pirata informático acceder a las cuentas de otros usuarios (correo electrónico / CC / banco) Y no quieres ser una fuente de algo así.
Como se mencionó, es perfectamente legal en muchas jurisdicciones, ya que el propietario de la máquina puede hacer lo que quiera con estos datos (no cuenta como datos personales en la mayoría de los estatutos de protección de datos)
Pero implica un riesgo: que el espectador de esos registros pueda crear una buena idea de las contraseñas de las personas, lo que elimina la capacidad de auditoría de las acciones (podrían iniciar sesión como la persona cuya contraseña se ha registrado), por lo que sería muy mala idea, y en industrias reguladas plantearía un problema!
De hecho, muy mala idea. Las personas a veces ingresan la contraseña para otro sitio. Si se registrara, sería una información valiosa para cualquier persona a la que pueda acceder al registro. A menudo se puede adivinar a partir de una pequeña cantidad de sitios para los cuales la contraseña es correcta.
Para agregar a las respuestas anteriores, tampoco debe registrar el nombre de usuario, es bastante común que las personas no estén sincronizadas y escriban su contraseña en el campo de inicio de sesión (la IU mala es el principal culpable).
He visto que no solo la contraseña se almacena en la Base de datos, sino también el nombre de usuario , por lo que el DBA o alguien que tenga acceso a la lista de registros, podría imaginar la credencial correcta. p>
¿Este tipo de información de registro tiene valor ? OMI no, porque es mejor en términos de seguridad que el sitio web informe al usuario con un correo electrónico de alerta sobre "inicios de sesión fallidos". Lo único que vale la pena tener para registrar esa información es (1) conocer el patrón que un pirata informático intenta utilizar para iniciar sesión (2) y qué usuario está considerando.