Domanda:
Posso richiedere una copia dell'hash della mia password con GDPR?
Benoit Esnard
2018-05-28 14:33:28 UTC
view on stackexchange narkive permalink

Le persone spesso utilizzano le informazioni personali per crearle, come il nome / la data di nascita, e le persone spesso riutilizzano le password su diversi siti, quindi immagino che le password siano considerate dati personali poiché potrebbero identificarne il proprietario.

Se un sito web non segue le migliori pratiche relative all'hashing delle password, potrebbe rendere praticamente inutile l'intero processo di hashing, quindi immagino che anche gli hash delle password siano considerati dati personali.

Con GDPR, posso richiedere una copia dell'hash della mia password?

IANAL ma c'è una grande differenza tra un luogo / data di nascita, che * non puoi * scegliere, e una password, che dovresti generare casualmente. Il primo tipo di informazione ti identifica intrinsecamente. Quest'ultimo solo tangenzialmente utilizzandolo più volte. Cioè Non credo che la tua premessa sia affatto valida. Solo perché le righe in un DB hanno una colonna id che identifica il tuo record non significa che siano dati personali e che tu abbia il diritto di conoscerli o modificarli / cancellarli. È solo un identificatore interno.
Per essere pedante, IANAL e di sicuro non sono un esperto di GDPR, ma sono sicuro al 99,99999% che il GDPR non ti proibisce di richiedere una copia dell'hash della tua password. Sospetto che volevi dire che il GDPR richiede che la tua richiesta venga soddisfatta. Non credo proprio. Penso che non possano rispondere, rispondere con l'hash della tua password o rispondere con spazzatura casuale a loro discrezione ed essere conformi.
Una password con hash corretto non identifica in modo univoco una persona, poiché più password possono produrre lo stesso hash, anche se le password sono diverse. Questo singolo fatto rende discutibile l'intera questione. Per qualche motivo sconosciuto il mio precedente commento (votato verso l'alto) su questo effetto è stato rimosso. Per favore non farlo. È rilevante.
Due risposte:
Steve Woods
2018-05-28 15:39:43 UTC
view on stackexchange narkive permalink

Prima di tutto, una password non è un dato personale.

"dati personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile ("persona interessata"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati sull'ubicazione, un identificatore online o uno o più fattori specifici per l'aspetto fisico, fisiologico, identità genetica, mentale, economica, culturale o sociale di quella persona fisica;

Dall'articolo 4 del GDPR ( https://gdpr-info.eu)

Per quanto riguarda gli hash delle password, cosa intendi chiedendo una tua copia? Puoi produrlo se conoscessi l'algoritmo di hashing del sito web.

A proposito, i siti web dovrebbero utilizzare buoni algoritmi di hashing, come bcrypt o scrypt, non MD5 o SHA1.

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/78159/discussion-on-answer-by-steve-woods-can-i-request-a-copy-of-my- password-hash-wit).
reed
2018-05-28 17:55:10 UTC
view on stackexchange narkive permalink

Per come la vedo io, qualsiasi informazione che può essere associata a una persona identificata o identificabile sono informazioni personali. Quindi gli hash delle password sono informazioni personali perché sono sicuramente memorizzati nel database in un modo chiaramente associato alla tua email o ad altri dati che possono identificarti. Tuttavia, penso che ci siano due cose da considerare:

  • Non chiederesti davvero di vedere i tuoi dati personali (è un hash, non puoi vedere la password), ma in realtà come vengono archiviati i tuoi dati personali. Probabilmente non hai il diritto di conoscere i dettagli su come archiviano esattamente i tuoi dati, tranne forse una dichiarazione ufficiale in cui affermano di seguire tutte le migliori pratiche di sicurezza o di seguire alcuni standard, ecc.
  • Invio dell'hash potresti effettivamente invalidare le loro politiche, standard o pratiche di sicurezza, perché non sembra un'ottima idea comunicare un hash della password a un utente. Se è archiviato e gestito in modo sicuro nei loro sistemi, perché rischiare di abbassare la loro sicurezza comunicando l'hash a un utente?

Per i motivi di cui sopra, penso che il principio GDPR della "sicurezza dei dati personali" (sezione 2) sia decisamente più importante del tuo diritto di vedere l'hash senza motivo.

Questo è il problema con questo regolamento prepotente. Come proprietario di un piccolo sito web, blogger, anche come individuo che gestisce un server, non hai possibilità realistiche di collegare i punti tra un indirizzo IPv4 e un individuo. Google, Facebook e altre grandi società sarebbero nella posizione di farlo, insieme agli stati nazionali. Ma il regolamento pretende che un IP possa essere (ab) utilizzato allo stesso modo, indipendentemente dal contesto ... mentre allo stesso tempo non riesce a proteggere i cittadini dall'eccessivo intervento del governo quando si tratta di dati personali.
@0xC0000022L. Resta da vedere se il GDPR sia prepotente. Non abbiamo ancora giurisprudenza. Ai miei occhi, il GDPR è * quasi * identico alla direttiva 95/46 / CE. Abbiamo 13 anni di giurisprudenza per questo e il cielo non è caduto.
@0xC0000022L, è possibile associare un IP a un utente cercando alcuni percorsi specifici nei log che sono accessibili solo a utenti specifici. Ad esempio, l'IP che richiede un percorso come * / users / JohnDoe / private-messages / 123 * è quasi certamente JohnDoe. Tuttavia, hai comunque il diritto di registrare gli IP, perché i log di accesso AFAIK sono necessari per motivi tecnici e di sicurezza.
@reed: in uno scenario del genere è vero. Ma considerando un servizio web - diciamo un forum - "JohnDoe" è probabilmente lo pseudonimo con cui l'utente attento alla privacy ha scelto di andare. Quindi, anche se posso dire che "John Doe" utilizzava IP x.y.z.a, questo è tutto. Il meglio che posso fare come proprietario di un piccolo sito web è tentare una geolocalizzazione molto molto approssimativa dell'IP. Quindi Google, avendo metadati sull'utilizzo di Android e innumerevoli ricerche web e monitoraggio, sarà probabilmente in grado di trovare il mio vero nome e / o indirizzo attraverso tutti i tipi di riferimenti incrociati sull'enorme quantità di dati che raccolgono.
No, il regolamento tiene specificamente conto se stai facendo questo tipo di associazione o meno; se * non * associ indirizzi IP agli utenti, non si tratta effettivamente di dati personali.
@pjc50: questo non è vero in tutta l'UE allora. Mi è capitato di sapere che in Germania gli indirizzi IP erano considerati dati personali anche prima dell'approvazione del GDPR nel 2016.
@0xC0000022L, puoi fare molte cose con gli indirizzi IP. Puoi associarlo a un nickname, che a sua volta è solitamente associato a un'e-mail, ecc. Puoi tenere traccia di tutte le pagine visitate in una sessione, gli orari, ecc. Puoi geolocalizzarlo e vedere eventuali modifiche nella geolocalizzazione per provare a indovina dove si è spostato l'utente. Sono dati personali. Se non lo usi, va bene, dì solo che gli IP vengono registrati per motivi tecnici. Ma se lo usi e lo elabori insieme ad altri dati personali, allora deve essere accettato dall'utente e scritto nella tua politica sulla privacy. Questo però è tutto fuori tema qui.
@0xC0000022L Sarei interessato a una citazione per questo, anche se è in tedesco; c'è una reale mancanza di chiarezza su questo problema
L'ultima sentenza di @pjc50: che conferma che la classificazione degli IP di cui sono a conoscenza dal BGH è del maggio 2017, depositata come `VI ZR 135 / 13`. Sembra che si riduca all'incirca a quanto indicato da Reed. Se hai i mezzi per mappare un IP a un individuo, rientra in quella classificazione. Purtroppo, i mezzi non sono limitati ai "mezzi legali" (si pensi a un ISP a cui viene consegnato un mandato) di per sé. Quindi rimane la disparità tra grandi aziende e piccoli proprietari di siti web.
@0xC0000022L Gli operatori di piccoli siti web tendono ad essere meno attenti / informati sulla sicurezza, aumentando il rischio che i loro database cadano nelle mani di governi / organizzazioni criminali. Non sono un esperto legale, ma l'argomento secondo cui "Sono troppo piccoli per sapere comunque cosa fare con i dati" non dovrebbe esimerlo dal doverli gestire correttamente.
Nel 2016 la Corte di giustizia (UE) ha ritenuto che un indirizzo IP dinamico sia considerato dati personali, si veda questo comunicato stampa: https://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/ cp160112en.pdf
@MikeOunsworth questo non è affatto il mio argomento, però.
Se l'utente ha solo nome utente + password e nessun'altra identificazione (nome, indirizzo, ecc.), Questo hash è ancora "dati personali"? Penso che il GDPR avrà presto una revisione.
Contesterei il fatto che l'hash della password sia un'informazione personale. La maggior parte delle informazioni alla fine ha una persona come fonte. Ciò non significa che siano informazioni personali. Mentre dati come nome, altezza, peso, sesso ecc. Sono direttamente collegati alla tua persona, una password è solo un pezzo di dati che crei che non ha alcuna connessione con te come persona diversa da te come creatore.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...