Saya baru-baru ini menggunakan layanan pemerintah yang saya punya akun dari tahun lalu. Saya tidak dapat mengingat kata sandi saya untuk layanan ini sehingga saya menggunakan tautan "lupa kata sandi" dan terkejut melihat bahwa situs web pemerintah ini mengirimkan kata sandi saya ke alamat email saya dengan teks biasa.
Saya pribadi mengetahui cara menangani kata sandi pengguna, dan saya mengirim beberapa komentar tentang masalah saya melalui formulir umpan balik (ini adalah situs web pemerintah. Orang-orang menggunakan layanan pemerintah online lainnya yang berhubungan dengan informasi sensitif, serta fakta bahwa kebanyakan orang menggunakan kata sandi yang sama atau sedikit kata sandi untuk semuanya (saya tahu saya lakukan) dan saya curiga praktik keamanan yang sama digunakan di seluruh) yang saya dapatkan tanggapan segera. Mereka hanya meyakinkan saya bahwa "Kementerian telah mengambil langkah-langkah yang diperlukan untuk melindungi informasi kata sandi, termasuk menyimpannya dengan enkripsi yang tepat."
Saya hanya ingin mengatakan "baik jelas Anda belum mengambil langkah-langkah yang diperlukan jika Anda dapat mengirim email kata sandi saya" tetapi saya tidak berusaha bersikap kasar, dan saya pikir pesan saya tidak akan pernah mencapai seseorang yang tahu apa yang saya maksud.
Jadi saya ingin menyatakan bahwa "langkah-langkah yang diperlukan belum diambil sesuai dengan [beberapa standar keamanan resmi]" yang mungkin mendorong seseorang untuk memeriksanya. Saya melakukan pencarian cepat di OWASP tetapi hanya menemukan artikel tentang penyimpanan plaintext.
Apakah ada standar keamanan mengenai penanganan kata sandi pengguna di luar sana yang melarang (karena saya pikir itu mungkin) penyimpanan informasi kata sandi yang dapat diambil? Bahkan lebih baik: adakah standar seperti itu yang harus diikuti oleh situs web yang berurusan dengan informasi sensitif seperti bank dan layanan web pemerintah?
Saya tahu saya mungkin tidak akan mengubah apa pun tetapi IMO layak dicoba.