Recentemente, usei um serviço do governo do qual eu tinha conta há anos atrás. Como não me lembrava da minha senha do serviço, usei o link "esqueci a senha" e fiquei surpreso ao ver que este site do governo enviou minha senha ao meu endereço de email em texto sem formatação.
Estou pessoalmente ciente de como lidar com senhas de usuários e enviei alguns comentários sobre minhas preocupações por meio de um formulário de feedback (este é um site do governo. As pessoas usam outros serviços governamentais on-line que lidam com informações confidenciais, além do fato de que a maioria das pessoas usa a mesma senha ou um punhado de senhas para tudo (eu sei que faço) e desconfio que as mesmas práticas de segurança sejam usadas por toda a parte) pelas quais recebi uma resposta imediata. Eles simplesmente me garantiram que "o Ministério tomou as medidas necessárias para proteger as informações de senha, incluindo armazená-las com as criptografias apropriadas".
Eu gostaria de dizer "bem, obviamente você não tomou as medidas necessárias se puder enviar a minha senha por e-mail", mas não estou tentando ser grosseira e acho que minha mensagem nunca alcançar alguém que saiba o que quero dizer de qualquer maneira.
Por isso, gostaria de dizer apenas que "as medidas necessárias não foram tomadas de acordo com [algum padrão oficial de segurança]", o que pode levar alguém a investigá-lo. Fiz uma pesquisa rápida no OWASP, mas só encontrei um artigo sobre armazenamento de texto sem formatação.
Existe um padrão de segurança em relação à manipulação de senhas do usuário que proíbe (como eu provavelmente provavelmente faria) o armazenamento de informações de senhas recuperáveis? Melhor ainda: existe um padrão que deve ser seguido por sites que lidam com informações confidenciais, como bancos e serviços da web do governo?
Eu sei que provavelmente não vou mudar nada, mas vale a pena tentar na IMO.