|
Administratör
|
|
Reg.datum: Jan 2003
Inlägg: 1 974
|
|
|
Administratör
Reg.datum: Jan 2003
Inlägg: 1 974
|
Jag skummade igenom PCI DSS (Payment Application Data Security Standard) och det verkar som om det de senaste 3 åren (med PCI DSS 2.0) inte varit krav på envägskryptering av lösenord men att det kom först i November (med PCI DSS 3.0).
Så det kan tyvärr vara så att de följer (den gamla) standarden för branchen för lagringen då det är tillåtet att lagra lösenordet med tvåvägs-kryptering. Däremot så säger den också att lösenorden måste skyddas av "strong cryptography during transmission" och det kan väl ändå inte gå ihop med att skicka lösenordet i mail??
Sen förklarar dettta förvisso inte de väldigt konstiga begränsningarna de har för lösenordet. Det tyder ju på att det helt emot standarden faktiskt lagras i klartext ändå.
Men i PCI-DSS 3.0 har de äntligen bytt ut "strong cryptography during transmission and storage" till "strong cryptograhy during transmission" och "strong, one-way cryptographic
algorithm" för storage.
|