Nešifrování hesel vs zákony

Od: Datum: 03.06.13 06:54 odpovědí: 4 změna: 03.06.13 18:30
avatar

Zdravím, pouze teoreticky, (nic z toho co řeknu NEMÁM v plánu dělat) pokud budu mít webovou stránku a zřídím si na ní možnost registrace pro uživatele, byl by veliký právní problém, kdybych hesla ukládal do databáze tak jak jsou (nezašifrovaná)? Díky.

PS.: Prosil bych nemoralizovat, pouze mě to zajímá.


Seznam odpovědí:
 
moment čekejte prosím, probíhá přenos dat...
Zobrazení struktury odpovědí v otázce
Skrytí struktury odpovědí v otázce
Zobrazení struktury odpovědí v otázce

 

Odpovědi na otázku:
Od: hop®
Datum: 03.06.13 07:38
avatar

Pokud od registrovaných uživatelů nebudeš chtít osobní údaje a při zneužití loginu jim nebude hrozit vlastně žádná materiální škoda (jako třeba při použití e-shopu), neměl by v tom být problém. Nevím o konkrétním předpisu, který by povinnost šifrování udával, který by vůbec nějak definoval jak soukromý web postavit. Samozřejmě obsah webu nesmí porušovat zákony...

... jen můj názor, ješte se mohu zeptat svého "osobního" právníka...

Ohodnoceno: 3x
 
Datum: 03.06.13 11:52
avatar

Tak jako klidně můžou být plaintext, on to stejně nikdo zvenčí nepozná, jak to funguje.. do doby, než se tam někdo dostane a celou db ukradne ;) V tu chvíli má přístupy ke všem účtům a pokud tam byly vedeny i e-maily, tak do dobré poloviny z nich se dostane taky, protože tam bude stejné heslo (což je ale nakonec na odpovědnosti uživatelů). Když budou místo hesel ukládány md5 hashe, bude mu aspoň pár hodin trvat, než část z nich prolomí (v závislosti na velikosti db - u větších to jde "rychlejš"). No a jestli bude použito něco lepšího, třeba rotace_znaků(sha(login + heslo + salt)), kde je délka rotace závislá na délce loginu a hesla, tak to v podstatě neuhádne nikdy, když nebude vědět, jak to bylo sestrojeno (tj ukradne jen db, ne zdrojáky) - přečte si tedy jen ostatní uložené informace, ale na účty se nepřihlásí.

Každopádně si myslím, že za to žádná právní odpovědnost nebude. Jen ztráta důvěry a naprostá diskreditace ;)

Nevím, jestli pro případ, který popisuje Hop, je vytvořen nějaký prováděcí předpis, nebo jestli tam je jen nějaká obecná formulace typu "je povinen zabezpečit data dle současných standardů".

Závěrem, do doby, než to budeš mít na https, to stejně nijak extra bezpečné není.

Ohodnoceno: 2x
 
Od: mowla*
Datum: 03.06.13 12:17

Podobně jako ´předřečníci´ se domnívám, že (ne)šifrování hesel (a dalšího obsahu) zákon neřeší - takže si web můžeš naprogramovat jak chceš.

V případě problému (zneužití dat) by bylo podstatné, k jakému ohrožení by došlo (mohlo dojít) a jaká opatření jsi k ochraně dat udělal - tedy by možná soudu došlo i na (ne)šifrování - samozřejmě se bavím zcela hypoteticky.

Mimochodem - když jsem se účastnil ´výroby´ IS ´podniku´, bylo největší ´starostí´ zabezpečení hesel uživatelů před administrátory - aby při případných nejasnostech byly nezpochybnitelně dohledatelné zásahy do systému provedené jednotlivými uživateli, takže šifrování bylo ´nutné´.

doplněno 03.06.13 19:01:

Zákon - pokud vím, neupřesňuje, zda je nutné data šifrovat (viz §13 zakona 101/2000 Sb.) a současně zpracovateli neukládá povinnost seznamovat subjekty, jejichž data zpracovává se způsobem jejich (ne)ochrany.

Taky hodně záleží na tom, o jaká data by se jednalo.

doplněno 03.06.13 23:45:

Pokud by to jméno a heslo nemělo žádné návaznosti na ´háklivější data´ (nick si může uživatel volit jakkoli - bez vazby na skutečné osobní údaje), je - podle mne, zhola jedno, zda bude heslo šifrované a případně jakým algoritmem či klíčem. A pokud ty bys byl jediným adminem (tedy bys mohl vyloučit ´nevhodný´ zásah admina), nemusíš hesla kryptovat či skrývat kvůli správě.

Ohodnoceno: 2x
 
Datum: 03.06.13 18:30
avatar

A dejme tomu, že pokud bych to udělal bez šifrování, musím to v podmínkách použití uvést že se data nešifrují?

doplněno 03.06.13 23:08:

Přihlašovací jmén a heslo (tak jak je to v dotazu), nic víc.

 

 

Přihlásit se k odběru odpovědí z této otázky:

Neneseme odpovědnost za správnost informací a za škodu vzniklou jejich využitím. Jednotlivé odpovědi vyjadřují názory jejich autorů a nemusí se shodovat s názorem provozovatele poradny Poradte.cz

 
Copyright © 2004-2016 Poradna Poradte.cz. Všechna práva na poradně Poradte.cz vyhrazena.