Het enige geval waarin ik kan bedenken dat de FCC vereist dat een wachtwoord duidelijk is, heeft betrekking op amateurradio, en zelfs dat is niet echt het geval.

In zes jaar bij een auditkantoor, en al met alles wat ik ooit heb gelezen, inclusief een heleboel briefings van de rechtbank, heb ik nog nooit iets gehoord dat erop wijst dat zo'n waanzin eigenlijk ergens gerechtvaardigd is.

Het is niet ongebruikelijk dat CSR's een beetje sociaal doen techniek. Hun werk is vaak veel gemakkelijker als ze zeggen dat het vereist is door iets buiten hun bedrijf.

BBC heeft een artikel over grote bedrijven die de Franse regering uitdagen over een nieuwe wet die hen verplicht om wachtwoorden op verzoek aan de politie over te dragen.

De regering beweerde later dat dit zo is voldoende om andere inloggegevens te verstrekken die toegang tot het account in kwestie mogelijk maken. (Sorry, ik kan hier momenteel geen Engelse bron voor vinden zonder er meer tijd aan te besteden).

Het is gebruikelijk dat internetproviders wachtwoorden opslaan in duidelijke tekst, zoals ik heb uitgelegd in dit antwoord voor de technische redenen van ondersteunde oude protocollen.

Ik weet het niet. Ik moet bekennen dat mijn eerste gok zou zijn flauwekul of een verkeerd begrip van de wet.

In mijn ervaring is het niet ongebruikelijk dat bedrijven met dom beleid dat beleid de schuld geven van de veiligheid of de federale overheid. Soms handelen mensen te goeder trouw en zijn ze gewoon in de war over wat de wet of beveiliging eigenlijk vereist. Soms is het een doordacht excuus om klanten te laten zwijgen en klachten af ​​te weren.

(Je kunt dit zelfs zien in vliegtuigen, waar vliegtuigpersoneel je zal vertellen om van alles te doen in naam van de veiligheid (bijv. , "gebruik voor de veiligheid alleen het toilet in uw hut met kaartjes"), als er eigenlijk geen overheidsregulering of redelijke veiligheidsredenen zijn die dat vereisen.)

Natuurlijk kan er een of andere domme regeling zijn die dit vereist - maar ik ben nogal sceptisch.

Ik zou proberen om een ​​verwijzing naar de specifieke wet of regelgeving te krijgen (niet alleen "het heeft te maken met CPNI"). Je zou ook kunnen proberen om de naam te vragen van de overheidsinstantie waarvan zij beweren dat ze deze voorschriften uitvaardigt, en vervolgens die instantie bellen om hen ronduit te vragen of dat iets is dat ze nodig hebben en hen om een ​​citaat en een kopie van de verordening vragen. Het is mijn ervaring dat als ik naar de daadwerkelijke regelgeving kan kijken, het niet ongebruikelijk is om te ontdekken dat het niet echt vereist wat mensen denken of zeggen dat het doet.

Ik ben niet gekwalificeerd om juridisch advies te geven. Als u juridische bijstand nodig heeft, raadpleeg dan een geschikte arts.

EPIC's interpretatie van 222. Privacy van klantinformatie lijkt erop te wijzen dat een wachtwoord geen deel uitmaakt van de eigen netwerkinformatie van de klant (CPNI).

(h)

(1) De term "klantgebonden netwerkinformatie" betekent:

(A) informatie die betrekking heeft op de hoeveelheid, technische configuratie, type, bestemming, locatie en hoeveelheid gebruik van een telecommunicatiedienst waarop een klant van een telecomaanbieder, en die uitsluitend op grond van de vervoerder-klantrelatie aan de koerier ter beschikking wordt gesteld door de klant; en

(B) informatie in de rekeningen die betrekking hebben op de telefooncentrale of de telefonische toldienst ontvangen door een klant van een koerier;

Ik vermoed dat uw wachtwoord staat niet op uw factuur, dus dat sluit deel B uit.

Ik kan niet achterhalen hoe een wachtwoord zich verhoudt tot een telecommunicatiedienst, behalve om de informatie te beveiligen die die dienst beschrijft, dus dat lijkt linke geen deel A.

Bedrijfsuitleg is verkeerd

Ik werkte vroeger voor een telecombedrijf, en dat is volkomen verkeerd.

Allereerst, ja, dat zijn ze vereist om u op de een of andere manier te authenticeren. Dat is veel waar.

De telco kan zware straffen krijgen voor het bekendmaken van CPNI zonder de beller of websitegebruiker correct te verifiëren. We hebben het over duizenden dollars per overtreding.

A Right Way and A Wrong Way

Er is echter geen reden om uw webwachtwoord weer te geven in duidelijke tekst. Er zijn veel manieren om bellers zonder wachtwoord te authenticeren --- en zelfs als ze ervoor kiezen om een ​​zichtbare pincode / wachtwoord te gebruiken, mag dit niet hetzelfde wachtwoord zijn dat wordt gebruikt om toegang te krijgen tot webportals, e-mail, enz.

Mogelijke alternatieve verklaring

Of ze hebben een vreselijke beveiligingsbeslissing genomen in hun poging om de wet na te leven, of je hebt per ongeluk hetzelfde wachtwoord opgegeven voor zowel toegang tot de webportal als voor accountbeheer .

Om te zien waar de fout is gemaakt, hoeft u alleen maar uw webwachtwoord te wijzigen. Als de agent dit nieuwe wachtwoord ziet wanneer u de volgende keer belt, heeft het bedrijf een grote fout gemaakt. Dit zou echter alleen een beveiligingsverval zijn, geen schending van de wet.

Om het antwoord van DW in een iets andere richting uit te breiden, kan het zijn dat het een onjuiste interpretatie is die is ontworpen om 'alle bases te dekken' en / of de interpretatie van een vage / misleidende vereiste waarvan ze denken dat ze zichzelf zo volledig mogelijk zullen bedekken.

Ik werk in de gezondheidszorg, met name de onderwijsafdeling voor een redelijk groot gezondheidssysteem, en ik heb een aantal echt domme onderwijsvereisten gezien mijn bureau voor een van de bovenstaande of beide. Gewoonlijk is er een veel redelijkere interpretatie die voldoet aan alle gestelde eisen van de verordening of certificering, maar sommige mensen zijn gewoon niet tevreden als het niet de meest ingewikkelde en / of absurde interpretatie is.