मैंने हाल ही में एक सरकारी सेवा का उपयोग किया था जिसका मेरे पास वर्षों पहले से एक खाता था। मैं सेवा के लिए अपना पासवर्ड याद नहीं कर सकता था इसलिए मैंने "पासवर्ड भूल गए" लिंक का उपयोग किया और यह देखकर चकित रह गया कि इस सरकारी वेबसाइट ने अपना पासवर्ड सादे पाठ में मेरे ईमेल पते पर भेजा था।
मुझे व्यक्तिगत रूप से पता है कि उपयोगकर्ता पासवर्ड को कैसे संभालना है, और मैंने फीडबैक फॉर्म के माध्यम से अपनी चिंताओं के बारे में कुछ टिप्पणियां भेजीं (यह एक सरकारी वेबसाइट है। लोग अन्य ऑनलाइन gov का उपयोग करते हैं। ऐसी सेवाएँ जो संवेदनशील जानकारी के साथ-साथ तथ्य भी बताती हैं। अधिकांश लोग हर चीज के लिए एक ही पासवर्ड या मुट्ठी भर पासवर्ड का उपयोग करते हैं (मुझे पता है कि मैं करता हूं) और मुझे संदेह है कि समान सुरक्षा प्रथाओं का उपयोग पूरे भर में किया जाता है) जिसके लिए मुझे तुरंत प्रतिक्रिया मिली। उन्होंने बस मुझे आश्वस्त किया कि "मंत्रालय ने पासवर्ड की जानकारी की सुरक्षा के लिए आवश्यक कदम उठाए हैं, जिसमें उन्हें जगह में उचित संकेत के साथ संग्रहीत करना शामिल है।"
मैं सिर्फ इतना कहना चाहता हूं कि "यदि आप अपना पासवर्ड मुझे ईमेल करने में सक्षम हैं" तो आपने आवश्यक कदम नहीं उठाए हैं, लेकिन मैं असभ्य होने की कोशिश नहीं कर रहा हूं, और मुझे नहीं लगता कि मेरा संदेश कभी आएगा किसी ऐसे व्यक्ति तक पहुँचना जो जानता है कि मेरा क्या मतलब है।
इसलिए मैं यह बताना चाहता हूं कि "[कुछ आधिकारिक सुरक्षा मानक] के अनुसार आवश्यक कदम नहीं उठाए गए हैं" जो किसी को इस पर ध्यान देने के लिए प्रेरित कर सकता है। मैंने OWASP पर एक त्वरित खोज की, लेकिन केवल सादा भंडारण के संबंध में एक लेख मिला।
क्या उपयोगकर्ता के पासवर्ड से संबंधित कोई सुरक्षा मानक है जो वहां प्रतिबंधित है (जैसा कि मुझे लगता है कि यह संभव है) पुनर्प्राप्त करने योग्य पासवर्ड की जानकारी का भंडारण होगा? इससे भी बेहतर: क्या ऐसा कोई मानक है, जो बैंकों और सरकारी वेब सेवाओं जैसे संवेदनशील सूचनाओं से निपटने वाली वेबसाइटों द्वारा पालन किया जाना चाहिए?
मुझे पता है कि मैं शायद कुछ भी नहीं बदलूंगा, लेकिन यह एक शॉट आईएमओ के लायक है।