¿Existen regulaciones contra las compañías financieras que almacenan contraseñas en texto sin formato?

5

Un banco que utilizo almacena mi contraseña en texto sin cifrar o, quizás, con un cifrado revertible, que es igual de malo.

Lo sé porque cuando haces clic en "¿Olvidaste tu contraseña?" (o similar), le envía un correo electrónico con su contraseña en texto sin cifrar. (Me dio una gran sorpresa.)

¿Hay regulaciones contra esto? Cualquier otro comentario o consejo también sería apreciado.

EDITAR: Estoy ubicado en Michigan, EE. UU.

    
pregunta user606723 01.08.2012 - 19:19
fuente

3 respuestas

6

Esta práctica es terriblemente insegura y, lamentablemente, demasiado frecuente. Como dijo acoolguy, puedes escribir quejas directas al banco y a tu ombudsman financiero, pero generalmente terminarás aullando al viento.

Si el banco tiene que tratar con compañías de procesamiento de pagos como Visa o Mastercard, puede intentar contactarlos. A menudo, tienen reglas estrictas (por ejemplo, PCI-DSS) sobre lo que los bancos pueden hacer. Si bien es poco probable que pueda lograr que ellos solucionen el problema directamente, al informar a los procesadores de pagos generalmente se inicia una investigación oficial que puede resultar extremadamente embarazosa para el banco.

Lamentablemente, la única manera segura de lograr que lo solucionen es hacerlo lo más público posible. Haz que sea una pesadilla de relaciones públicas para ellos. Los avergüenza en delincuentes de texto simple . Conéctese a Twitter, conéctese a Facebook y hágales saber a las personas lo que están haciendo y por qué es malo. Si puede hacer que la gente se queje, puede hacer una diferencia. Eso es lo que Troy Hunt y yo hemos estado haciendo con Tesco recientemente, y ha demostrado ser razonablemente exitoso.

Te deseo la mejor de las suertes.

    
respondido por el Polynomial 01.08.2012 - 21:24
fuente
3

Es ciertamente una muy mala práctica por parte del banco. Puede escribir un correo electrónico a un ombudsman bancario en su país solicitando una aclaración sobre este tema. En su correo electrónico copie el departamento de atención al cliente de dicho banco. Estas leyes difieren en cada país, por lo que es difícil responder a su pregunta.

Solo asegúrese de que antes de hacerlo público, es decir, publicar en Facebook o escribir en periódicos, retire todo su dinero de ese banco ... Supongo que no desea invitar a los ataques en la red del banco donde guarda su dinero: P

    
respondido por el acoolguy 01.08.2012 - 19:41
fuente
0

Permítame señalarle a la respuesta , tengo en @programmers, que responde a mi propia pregunta muy similar.

En esta pregunta, preguntaba si el hecho de que mi banco esté usando la misma contraseña (que uso para iniciar sesión) para los archivos PDF de protección de contraseña generados en cada fin de mes, significa que están almacenando esta contraseña claramente. -texto en la base de datos.

En general, me dijeron que esto no tiene que significar eso. En mi opinión, esta es una buena conferencia complementaria a todas las respuestas que tiene. ¿Tal vez pase lo mismo en tu situación? Tal vez, el hecho de que usted haya impreso claramente su contraseña en su correo electrónico no significa en realidad que esté almacenado como texto sin formato en la base de datos.

Por favor, amenaza esta respuesta como una adición. No soy especialista en seguridad, solo sigo las respuestas que alguien más ha escrito para mí.

    
respondido por el trejder 05.08.2012 - 14:14
fuente

Lea otras preguntas en las etiquetas