-
ERRADO.
Segundo a ISO 27002, "11.3.1 Uso de senhas
Diretrizes para implementação
Convém que todos os usuários sejam informados para:
f) modificar senhas temporárias no primeiro acesso ao sistema;
g) não incluir senhas em nenhum processo automático de acesso ao sistema, por exemplo, armazenadas em um macro ou funções-chave;"
-
Interessante notar que na versão 2013 da norma ocorreu mudança relacionada a este item.
9.3 User responsibilities
9.3.1 Use of secret authentication information
All users should be advised to:
...
f) ensure proper protection of passwords when passwords are used as secret authentication information in automated log-on procedures and are stored;
Ou seja, a versão nova não veda o uso de senhas para procedimentos automatizados de log-on, desde que adequadamente protegidas.
-
Na 27002:2013, o entendimento mudou
Garantir adequada proteção de senhas quando as senhas são usadas como informação de autenticação secreta em procedimentos automáticos de acesso (log-on) e são armazenadas;
fonte: www.meubizu.com.br
-
CRÉDITO DOS COLEGAS ABAIXO.
Segundo a ISO 27002:2013,p.38, "9.3.1 Uso da informação de autenticação secreta
Convém que todos os usuários sejam informados para:
f)garantir adequada proteção de senhas quando as senhas são usadas como informação de autenticação secreta em procedimentos automáticos de acesso (log-on) e são armazenadas;"
-
Acredito que as senhas em "processos automáticos" que a questão se refere, seja as senhas padrões de primeiro acesso
-
Será que a primeira versão estava prevenindo o phishing e a segunda não, pois quanto mais processos de log-on automático tiver, mais fácil fica a clonagem destas interfaces...