Chester Wisniewski, a Sophos Canada biztonsági tanácsadója, a Sophos NakedSecurity blogból
Az elmúlt hónapban a francia kormányzat új szabályozást fogadott el, amelyben arra kötelezik a szolgáltatókat, hogy minden felhasználónevet, jelszót, tevékenységet, dátumot/időt és emailcímet meg kell őrizniük 12 hónapig.
Egy a GigaOm.com oldalon található bejegyzés szerint pedig ezen felül meg kell még tartaniuk a postai címeket és telefonszámokat is, amennyiben azok ismertek.
Az Európai Unió egyre több zavarbaejtő, magánélettel kapcsolatos döntéseket hoz, de a francia verzió egy kicsit túl messzire megy.
Ha a szolgáltatóknak 12 hónapig kell az Ön jelszavait is tárolnia, akkor mindez az adatvesztési incidenseket sokkal tragikusabbá teheti. Azon szolgáltatók számára, akik kiadják az Ön jelszavát a rendőrségnek vagy más kormányzati szervnek, a jelszót vagy egyszerű szöveges formátumban vagy pedig valamilyen visszafejthető hash algoritmussal rendelkező formátumban kell tárolniuk (lásd a frissítést a cikk alján).
A nemrégiben a MySQL/Sun/Oracle ellen végrehajtott SQL injekciós támadás felfedett néhány adatbázis jelszót, amelyeket egyirányú hasheléssel tároltak csak. Ezek közül néhányat még mindig meg lehet fejteni brute-force támadással és megállapítható egyszerű szöveges tartalmuk, de némi erőfeszítést igényelne. Képzeljék csak el, mi minden történhetett volna...
Ha Franciaországban minden tranzakciót végrehajtó vállalkozásnak rögzítenie kell az Ön jelszavát minden egyes bejelentkezés alkalmával, ezek tárolása minden bizonnyal internetre csatlakozott számítógépeken történne, mindez viszont felhívást jelentene keringőre a cyberbűnözők számára.
A felhasználók nem rendelkeznek egyedi jelszavakkal a különböző szolgáltatásokhoz, ezért akár egy kisebb internetszolgáltató cég meghackelése az összes szükséges információt felfedheti más azonosítók veszélyeztetéséhez is.
Ugyan biztos vagyok benne, hogy a rendvédelmi szervezetek örömmel tennék rá kezeiket bűnügyi és terorrizmus elleni nyomozások során ezekre az adatokra, attól még ez az egész egyszerűen szörnyű ötlet.
Mindezen történésekre válaszolva az ASIC (Association of Community Internet Services), amely a Facebook-ot, a Google-t és az Ebay-t is tagjai közt tudó iparági kereskedelmi tömörülés, pert indított a törvény visszavonása miatt.
Frissítés: Eric Freyssinet Naked Security olvasónk írt nekem egy levelet, amelyben leírja, hogy a kérdéses törvény nem írja elő a jelszavak tárolásához használt módszer megváltoztatását, egyszerűen bármelyik módszer is legyen használva, azt egy évig a kormányzat rendelkezésére kell bocsátani. Írt is egy cikket a nézeteiről a blogjában.
További információ angol nyelven