Recientemente utilicé un servicio gubernamental del que tenía una cuenta desde hace años. No podía recordar mi contraseña para el servicio, así que utilicé el enlace "Olvidé mi contraseña" y me sorprendió ver que este sitio web del gobierno envió mi contraseña a mi dirección de correo electrónico en texto sin formato.
Personalmente, sé cómo manejar las contraseñas de los usuarios, y envié algunos comentarios sobre mis inquietudes a través de un formulario de comentarios (este es un sitio web del gobierno. La gente usa otros servicios gubernamentales en línea que tratan información confidencial, así como el hecho de que la mayoría de las personas usan la misma contraseña o un puñado de contraseñas para todo (sé que lo hago) y sospecho que se usan las mismas prácticas de seguridad en todo momento, para lo cual obtuve una respuesta inmediata. Simplemente me aseguraron que "el Ministerio ha tomado las medidas necesarias para proteger la información de la contraseña, incluido el almacenamiento con los cifrados adecuados".
Me gustaría decir "bueno, obviamente, no has tomado los pasos necesarios si puedes enviarme mi contraseña por correo electrónico", pero no estoy tratando de ser grosero, y no creo que mi mensaje alguna vez llegar a alguien que sepa lo que quiero decir de todos modos.
Por lo tanto, me gustaría decir que "no se han tomado los pasos necesarios de acuerdo con [algún estándar de seguridad oficial]", lo que podría incitar a alguien a investigarlo. Hice una búsqueda rápida en OWASP pero solo encontré un artículo sobre el almacenamiento de texto sin formato.
¿Existe un estándar de seguridad con respecto al manejo de la contraseña del usuario que prohíba (como creo que probablemente lo haría) el almacenamiento de información de contraseña recuperable? Mejor aún: ¿existe un estándar de este tipo que deben seguir los sitios web que se ocupan de información confidencial, como bancos y servicios web gubernamentales?
Sé que probablemente no cambiaré nada, pero vale la pena intentarlo.