Ciao a tutti,
non è un argomento strettamente legato a Php, volevo chiedere cosa prevede la legge per quanto riguarda il salvataggio delle password degli utenti nei database.
Qualcuno ha qualche link utile?
Grazie
Ciao a tutti,
non è un argomento strettamente legato a Php, volevo chiedere cosa prevede la legge per quanto riguarda il salvataggio delle password degli utenti nei database.
Qualcuno ha qualche link utile?
Grazie
http://www.village.it/legge_privacy/...i_generali.htm
vedi art. 4
http://blog.pmi.it/04/09/2009/gestio...sulla-privacy/
esempio di gestione password
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Non mi è chiara una cosa, le password vanno salvate criptate per legge?
Grazie
http://www.village.it/legge_privacy/disciplinare.htmOriginariamente inviato da Razorblade
Non mi è chiara una cosa, le password vanno salvate criptate per legge?
Mi pare proprio che si riferisca al classico username e password. Dove parola chiave riservata conosciuta "solamente" dal medesimo si intenda che nessuno all'infuori del titolare dello username deve poter conoscere la password. Quindi di conseguenza questa password non deve essere solo criptata (reversibile), ma resa irreversibile con un hash.2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Bene,
ho avuto quindi conferma di quello che sapevo, volevo arrivare a questo punto:
se ad uno sviluppatore viene richiesto di salvare le password in chiaro nonostante le molteplici spiegazioni di questo dei vari motivi per cui questa pratica è male nonchè fuorilegge, come si dovrebbe comportare lo sviluppatore?
Grazie
Come sviluppatore e non come gestore responsabile non avrei nessuna remora a creare una password in chiaro. Ovviamente farei una struttura a regola d'arte con la password hashata ed altra tabella senza riferimenti chiari del contenuto con id_user - dato_chiaro.Originariamente inviato da Razorblade
Bene,
ho avuto quindi conferma di quello che sapevo, volevo arrivare a questo punto:
se ad uno sviluppatore viene richiesto di salvare le password in chiaro nonostante le molteplici spiegazioni di questo dei vari motivi per cui questa pratica è male nonchè fuorilegge, come si dovrebbe comportare lo sviluppatore?
Grazie
Mi vado a salvaguardare almeno dalle ìnjection.
In altre parole farei le cose in regola, con l'opzione di conoscere la password in chiaro tramite l'id utente su specifica richiesta e liberatoria del committente/gestore responsabile.
Ma se l'utente e' un po' scafato ed alla richiesta della password perche' smarrita si vede arrivare la sua password originale in chiaro potrebbe pure aver a che ridire. Di solito si sovrascrive la password persa con altra provvisoria e inviata per Email, da riscrivere a cura dell'utente alla prima connessione. Questo va spiegato e di solito viene capito ed accettato dal committente.
Poi ci sono diversi livelli di controllo. Dipende dal valore del contenuto trattato.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
L'applicazione è stata creata in modo da non far pensare all'utente che la password sia *anche* salvata in chiaro, il sistema di password criptata ( hash + salt ) esiste pronto per essere usato, ed il recupero password non invia la password precedente ma da solo la possibilità di crearsene una nuova.
Grazie per tutti i chiarimenti!
Ciao
Permessi di invio
Rispondi quotando