Logo

El portal de Derecho Español más completo y útil para jurístas, empresas y particulares

Contraseña no cifrada

3 Comentarios
 
Contraseña no cifrada
01/12/2018 00:15
Buenas noches,

¿Tienen las empresas online la obligación de cifrar las contraseñas de los usuarios?

Me acaba de llegar un correo en el que figura la contraseña con la que me he registrado.

Me genera un gran problema saber que la contraseña no ha sido cifrada antes de ser insertada en la base de datos.

Yo tenía entendido que era necesario dar un tratamiento de cifrado unidireccional a las mismas para evitar comprometer la seguridad del usuario.

En caso de haber base jurídica, ¿que debo hacer?

Muchas gracias.
07/12/2018 12:53
FernandoGBR
Es imprescindible en ocasiones poder enviar una contraseña no cifrada, lo cual NO SIGNIFICA en absoluto que no esté debidamente cifrada en su BD.
Piensa por ejemplo cuando te dan la contraseña de una tarjeta de crédito: ya me dirás como la puedes usar la primera vez si no te dicen cual es el PIN, ni cómo vas a cambiar la contraseña, que es lo que se recomienda hacer la primera vez. En algunas webs funcionan de manera similar y es perfectamente lícito: te dan una primera contraseña, y en el primer acceso a la misma la cambias.
07/12/2018 14:39
paquito xocolatero
En primer lugar, no estamos hablando de que su sistema me haya generado una contraseña y esta haya sido enviada a mi, cosa totalmente normal puesto que esa contraseña autogenerada no es un dato personal mio. La realidad es que la contraseña que me envian es la contraseña que yo mismo he insertado en el formulario de registro, un dato personal.

Continuaré diciendo que al enviar mi contraseña sin cifrar por correo, no solo demuestran que la misma no esta cifrada mediante cifrado unidireccional (se puede comprobar si es la misma que la que yo inserto en futuros accesos, por que en cada acceso se usa el mismo cifrado y ambos deben coincidir, pero nunca descifrar en un tiempo razonable la contraseña original), si no que cualquier empleado de la empresa con acceso al correo electronico tiene acceso a este dato personal, a mi entender considerado como sensible por la GPDR.

Terminaré diciendo que la GPDR exige que se hagan todos los esfuerzos posibles por garantizar la seguridad de los datos de los clientes, y que claramente, dado que la tecnología permite hacerlo casi sin esfuerzo, cifrar las contraseñas de manera unidireccional me parece un esfuerzo necesario.

Muchas gracias, y a ver si algún experto en la GPDR me puede ayudar.
14/12/2018 13:02
FernandoGBR
Esto que dices ya es otra cosa. Independientemente de que sea obligatorio o no el cifrado de datos (depende de si por los datos en cuestión deben implantar medidas de nivel alto o no) es una práctica de seguridad informática absolutamente desastrosa.
Puedes informar a la AEPD, y por supuesto yo dejaría de trabajar con alguien así.