Французы запретили использование хэшей для хранения паролей

Развитие событий: Закон РАЭК о запрете анонимности утвердили в СНГ (29 мая 2011)

Google, Facebook, eBay, Dailymotion и ещё два десятка компаний попытаются в ходе судебного разбирательства пресечь попытки правительства Франции получить доступ к пользовательским данным, включая: полные имена, почтовые адреса, телефонные номера и пароли; сообщает BBC.

На данный момент, почтовым службам, магазинам, аудио-видео сервисам, провайдерам во Франции вменено:

1 год сохранять пользовательскую информацию (даже если сам клиент по тем или иным причинам удалил аккаунт).

А достаточно широкому кругу силовиков (полиция, таможня, налоговики и др.) предоставляется право доступа к этой базе.

Французская инициатива на общеевропейском фоне выглядит достаточно контрастно. Традиционно, власти Евросоюза в целом, требовали скорее обратного. Во-первых, объяснений на каком основании it-компании получают доступ к частной жизни своих клиентов, накапливая неанонимизированные данные. И, во-вторых, Евросоюз интересовался (в частности у Google) "выполняются ли все необходимые требования" по защите этих данных? Технарям сегодня очевидно, что хранение компаниями паролей, а не работа с их хэшами — безопасность на много порядков понижает. Власти Франции придерживаются обратного мнения.

Добавить 5 комментариев

  • Ответить

    В самой новости нет фразы о хранении паролей в открытом виде. Этот закон — это следствие новой директивы ЕС, которая должна была выполняться еще в 2007 г. По сути, там говорится о необходимости логировать и хранить ряд персональных данных, помогающих получить информацию о пользователе (вкл. его местоположение) от полугода до 2х лет, и предоставлять доступ к ним силовым структурам. [URL href=http://www.dataprotection.ie/documents/legal/directive2002_58.pdf] Директива ЕС [/URL] [URL href=http://www.media-publisher.ru/cgi-bin/stats.cgi?page=1-2/04] Выдержки на русском [/URL] PS: маленький нюанс: если данные хранятся в незашифрованном виде, то между хранением пароля в виде хеша и в открытом виде разницы особой нет.

  • Ответить

    Alter Ego, Ок, буду страться, честно, но я всего лишь хотел обозвать их плохим словом а не диагноз медицинский поставить…

  • Ответить

    Пароль, сам по себе, нужен полицаям НЕ для доступа к сохранённым данным. Их по санкции суда, так или иначе, обычно отдают. Причём отдают может быть даже в продвинутой, относительно доступной для пользователя, форме. Полицанер получает не просто письмо за прошлый сентябрь, а видит текст + дополнительные данные, что это письмо пользователь отправлял «с мобильной версии Сафари, из под какого-то ip в Кот-д’Ивуаре». Пароль нужен скорее для негласных «активных мероприятий». Типа как «Витю» «Бута» брали. Силовики, от имени якобы (!) известных авторитетных боевиков, вышли на связь с «Игорем» «Ивановичем», договорились о поставках оружия и, так получилось, что именно «Витю» «Бута» послали закрыть сделку с «боевиками». Ну он и закрыл. Главным образом себя в предзонник.