¿Se me pide a las contraseñas de hash

Navega tus respuestas
5

¿Se requiere una contraseña para hash de contraseñas por ley en los Estados Unidos o en otro lugar? Si la ley no lo exige, ¿existen ramificaciones legales si se roban contraseñas no lavadas?

Si no se requiere en los EE. UU., pero sí en la UE, ¿se puede hacer negocios legalmente en la UE sin hash de contraseñas?

    
pregunta MikeNereson 01.11.2011 - 16:48
fuente

5 respuestas

4

Creo que es requerido por diferentes estándares de seguridad / gobierno, como PCI, NIST y SOX.

Por lo tanto, si almacena sus contraseñas de manera clara, es posible que no pase estas certificaciones y, como resultado, puede terminar en el tribunal.

    
respondido por el AaronS 01.11.2011 - 18:00
fuente
3

A menos que tenga un requisito muy específico para no copiarlos, hágalos, es sencillo y cubre su cuenta en caso de que ocurra algo donde se puedan filtrar esos datos. Hay implementaciones bastante simples para hacer que le tome una cantidad de tiempo irrazonable descifrar una tabla de contraseñas, y mucho menos una cantidad de tiempo estúpida para descifrar una.

En general: no te meterás en problemas por no atacarlos, tendrás problemas si se filtran.

    
respondido por el StrangeWill 01.11.2011 - 21:07
fuente
3

Depende de lo que estés protegiendo. Si se trata de información confidencial, información de tarjeta de crédito o similar, debe protegerla adecuadamente. ¡El almacenamiento de contraseñas en claro no sería apropiado en estos casos!

Los requisitos de protección de tarjetas de crédito son globales (PCI-DSS), existen leyes de protección de datos en Europa, Estados Unidos y otras regiones, por ejemplo, DPA 1998 en el Reino Unido. En los EE. UU., La Ley Gramm-Leach-Bliley protege la información financiera personal; La Ley de informes crediticios justos protege la información del historial crediticio; La Ley de portabilidad y responsabilidad de los seguros de salud protege la información de salud.

También, lea la publicación del blog de Thomas Pornin en este ¿Por qué las contraseñas deben estar encriptadas ? Esto le dará una mejor perspectiva.

    
respondido por el Rory Alsop 01.11.2011 - 17:09
fuente
2
  

Si la ley no lo exige, ¿existen ramificaciones legales si se roban contraseñas no lavadas?

Esa afirmación es algo así como un oxímoron.

IME (IANAL) casi todos los países tienen un concepto legal de deber de atención . Por lo tanto, incluso en ausencia de una legislación específica con respecto a las contraseñas, usted es responsable de la administración de todos los datos que almacena. Sin embargo, esto traslada el problema del derecho penal al civil (donde se aplican dichas distinciones).

    
respondido por el symcbean 02.11.2011 - 12:48
fuente
0

No hay nada en las leyes sobre las contraseñas de hash.

El único requisito es la retención de contraseñas o datos que permitan verificarlos o modificarlos.

Actualización:
El hash es un detalle de implementación (de algo que ni siquiera se formuló en cuestión).

Definitivamente me sorprendería mucho si alguna ley hubiera estipulado detalles técnicos de implementación y realización de cualquier principio

Update2:
"Es ¿Hay alguna razón legal para guardar una contraseña de texto simple? " aquí, en el mismo tablero, discute el requisito de la FCC de EE. UU. para almacenar las contraseñas en texto claro

    
respondido por el Gennady Vanin Геннадий Ванин 01.11.2011 - 17:11
fuente

Lea otras preguntas en las etiquetas

¿Es seguro o incluso común almacenar en caché los cheques de bcrypt en la memoria? Cómo obtener la URL "real" del sitio (antes de volver a escribirla)