ISO与密码安全

Question

我得通过背景调查。向客户提供服务的公司称为验证公司，公司声称拥有数据安全计划、ISO认证和美国联邦客户。

我惊讶地得知，公司提供了一个基于网络的系统，并将用户名和密码通过纯文本电子邮件发送到外部系统。例如，该公司将向AOL或Mindspring帐户发送邀请电子邮件。

我知道通过电子邮件发送密码违反了NIST的做法。例如，它违反了s 800-53‘S认证管理IA-5和可能的IA-6.这也违反了of 800-118的处理方法。

有没有人知道在任何ISO下发电子邮件使用纯文本密码是可以接受的做法？数据敏感性是否影响ISO下的处理？

Answer 1

ISO/IEC 27002:2015第9节)访问控制第9.4.2分节-安全登录程序

实现和使用适当的身份验证技术，不公开登录时间敏感信息，数据输入验证，防止暴力攻击，日志记录，不通过network__传输密码，会话不活动超时和访问时间限制。