Франция обяжет провайдеров хранить пароли пользователей

В прошлом месяце французское правительство приняло новые нормативы, обязывающие сервис-провайдеров хранить имена пользователей, пароли, адреса электронной почты и журналы активности на протяжении 12 месяцев, по сведениям GigaOm.com. Провайдерам также предписано хранить почтовые адреса и телефонные номера пользователей если они известны, и передавать государственным органам (полиция, налоговая, таможенная служба и пр.) по их требованию.

В ЕС, конечно, случаются еще более сомнительные с точки зрения охраны частной жизни нормативные акты, однако, по мнению экспертов, Франция заходит слишком далеко в своем желании регулировать онлайновую деятельность. Если сервис-провайдерам придется хранить пароли на протяжении года, инциденты потери данных станут катастрофическими. Хотя директива не оговаривает методику хранения, чтобы иметь возможность передать пароли пользователей полиции или государственным органам, провайдеры будут вынуждены хранить их в виде обычного текста либо используя обратимые алгоритмы хеширования. Принимая во внимание последние инциденты, когда успешные SQL-инъекции открывали доступ к базам данных паролей MySQL, Sun, Oracle в которых применялись необратимые хэш-функции, можно только представить успешность атак методом грубой силы на подобные массивы данных провайдеров и результат подобных действий. Нужно также учесть, что пользователи зачастую пользуются одним паролем для разных сервисов, поэтому данные, полученные в результате таких атак, откроют киберпреступникам доступ к широкому спектру учетных записей в других сервисах.

В ответ на данную сомнительную (с точки зрения права граждан на конфиденциальность личной информации) инициативу группа ASIC (Association of Community Internet Services), в которую входят Facebook, Google и eBay, подала иск в высший судебный орган Франции, Государственный Совет, с требованием отменить данный декрет, к тому же, не согласованный с Европейской Комиссией.