Je v poriadku, ak štátna inštitúcia pošle plaintext heslo ku kontu v dokumente?

Manuály, skúsenosti používateľa, otázky a odpovede
1

Konkrétny príklad - štatistický úrad poslal do firmy dokument, v ktorom žiada vyplniť štatistiky a v rámci textu je uvedené heslo v plaintext-e. Podotýkam, že to nie je nejaké systémom vygenerované (prvotné) heslo, ale heslo, ktoré sme si nastavili sami, čiže naše vlastné.

Dokument kedysi posielali poštou, teraz cez e-schránku, čo je zrejme bezpečnejšie, no z hľadiska security je to podľa mňa problém, keďže to dokazuje, že majú heslá niekde odložené v plain-texte (čo je v rozpore s best practicices - heslá by mali byť uložené hash-ované a prevádzkovateľ by ich obsah nemal poznať).

1 Like
2

The password should never be sent in clear text (unencrypted) because it can be stolen by sniffing; saving the password in clear text in the database is dangerous too.

Potom treba poscrolovat aj nizsie a nasledne by si implkementator mal precitat aj aspon zakladne design informacie, ze ako sa to odporuca robit.

3

Môžte to skúsiť nahlásiť ako bezpečnostný incident. Podľa https://www.csirt.gov.sk/faq-860.html by ste mali kontaktovať správcu IS.

3 Likes