以明文形式(即网站密码)存储用户密码合法吗(美国和欧盟)?是否有关于如何存储密码的法律规定?
我有一个客户,他希望以明文形式存储密码,以便用户在忘记密码时可以恢复密码,但我希望阻止这种做法。
我试图说服我的客户,以明文形式存储密码是一种非常糟糕的做法。
请提供任何法律、政策或标准的链接,以便我可以用来帮助说服他们。
答案1
我认为你找不到任何一条适用于所有地方的包罗万象的法律,也不认为你找到任何具体描述如何存储密码的法律。
有大量标准与特定领域和服务类型的安全问题有关。这些标准中的大多数都包含有关如何存储和保护身份验证凭据的信息。不遵守这些标准可能会导致法律问题。
- 银行业务(PCI)
- 健康 (健康保险隐私及责任法)
- 学校(家庭教育权利和隐私法)
答案2
欧盟的主要指令被称为“数据保护指令”。成员国实施自己的法律,这些法律应与该指令保持一致。它与 PCI 标准类似,内容模糊且冗长。但是,有七条一般原则大多是常识。您可能感兴趣的是第 4 条:
安全性——收集的数据应得到妥善保存,避免受到任何潜在的滥用;
第十七条:
第 17 条 - 处理安全
- “成员国应规定,控制者必须实施适当的技术和组织措施,保护个人数据免遭意外或非法破坏或意外丢失、更改、未经授权的披露或访问,特别是在处理涉及通过网络传输数据的情况下,以及防止所有其他非法形式的处理。
“考虑到现有技术水平和实施成本,此类措施应确保与处理所代表的风险和要保护的数据的性质相适应的安全级别。”......(其余部分省略)。
http://en.wikipedia.org/wiki/Data_Protection_Directive
欧盟网站:(祝您浏览顺利)
http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
我认为在欧盟以明文形式存储密码的做法是不可接受的,因为:实施密码哈希很简单并且不会增加成本;这与普遍接受的最佳安全做法相悖;并且它几乎肯定会无法通过外部审计,因为如果密码被泄露,可能会被滥用,而且您无法验证使用密码的人是否是他们所声称的那个人(即,您只使用密码进行身份验证,而没有第二个因素)。
为了促进贸易,美国和欧盟签署了“安全港”协议,允许美国公司收集欧盟公民的数据,只要他们向美国商务部“自我证明”其遵守七项原则。
欧盟-美国安全港并不保护隐私做法不安全的美国公司:
答案3
我不是律师,但我认为没有任何法律规定你必须这样做。根据数据类型的不同,情况也可能有很大差异。这是非常糟糕的做法,存在安全风险。
在这些网站上回答法律问题时要非常小心。你不知道谁真正懂法律,谁不懂。对于与你的组织有关的任何重大问题,你应该就这些问题咨询真正的律师。
答案4
在美国,各州对员工数据的处理方式各不相同。例如,马萨诸塞州的 CMR 17 对员工数据的处理方式提出了一系列限制。制定这项法律是为了减少身份盗窃。
密码的问题在于,尤其是在与不了解或不太关心安全的人打交道时,他们通常会为所有账户使用相同的密码。因此,任何密码的公布或泄露都可能使这些人或企业面临风险。