ฉันจะโน้มน้าวให้บุคคลตามกฎหมายได้อย่างไรเมื่อรหัสผ่านเป็นไปได้ว่ารหัสผ่านนั้นถูกเก็บไว้ในที่ราบ?

หากผู้ใช้มีรหัสผ่านในระบบที่มีอักขระ ASCII 28 ตัว ในระบบ ให้บอกว่าเป็น my.gov.au และเมื่อไม่กี่ปีที่ผ่านมา ข้อบกพร่องถูกค้นพบซึ่งจำกัดรหัสผ่านไว้ที่ 20 ตัวอักษร และตอนนี้ผู้ใช้ค้นพบว่า รหัสผ่านสำหรับไซต์คือรหัสผ่านเดิม 28 อักขระที่ถูกตัดเหลือ 20 อักขระ มีเหตุผลหรือไม่ที่จะสรุปได้ว่ารหัสผ่านถูกจัดเก็บไว้ในที่ราบ และเราจะโต้แย้งเรื่องนี้กับบุคคลที่มีพื้นฐานด้านกฎหมายมากกว่าทฤษฎีสารสนเทศได้อย่างไร (เช่น . การแฮชเป็นวิธีหนึ่ง เป็นต้น)

ฉันเป็นคนทางเทคนิคและเข้าใจข้อโต้แย้งที่เกิดขึ้นในคำถาม แต่ก่อนที่ฉันจะเริ่มเข้าข้างข้อโต้แย้งเหล่านี้เพื่อยืนยันความไม่ปลอดภัยของระบบจัดเก็บรหัสผ่าน ทั้งในอดีตหรือปัจจุบัน ฉันต้องมั่นใจว่าเมื่อยอมรับอักขระ ASCII 28 ตัว รหัสผ่านที่พิมพ์โดยมีข้อผิดพลาดเกิน 20 ตัว^ไทย ตัวละครถูกปฏิเสธ หากไม่เป็นเช่นนั้น เป็นไปได้ว่าตั้งแต่เริ่มต้น รหัสผ่านมีอักขระ 20 ตัวแรกเท่านั้นที่มีนัยสำคัญ และนั่นคือขีดจำกัดที่บังคับใช้แล้วในขณะนี้ และสำหรับรหัสผ่านที่เหลือจะถูกเก็บและถูกแฮชรหัสผ่านอย่างเหมาะสม

ถึงอย่างนั้นฉันก็ไม่ปักใจเชื่อ"ว่ารหัสผ่าน เป็น เก็บไว้ในที่ราบ" เป็นไปได้โดยสิ้นเชิงว่าตอนนี้รหัสผ่านของเขาถูกจัดเก็บอย่างถูกต้องด้วยรหัสผ่านแฮช โดยมีการแปลงจากรูปแบบเก่าเป็นรูปแบบใหม่เมื่อรหัสผ่านหรืออักขระ 20 ตัวแรก ถูกใช้ครั้งแรกในระบบใหม่ ดังกล่าว การแปลงรหัสผ่านแบบเดิมเป็นรูปแบบรหัสผ่านใหม่อย่างราบรื่นเป็นขั้นตอนมาตรฐาน

ฉันจะไม่เชื่อด้วยซ้ำว่ารหัสผ่าน เคยเป็น เก็บไว้ในที่ราบเป็นไปได้โดยสิ้นเชิงว่ารหัสผ่านนั้นถูกเข้ารหัสด้วยการเข้ารหัสแบบย้อนกลับได้และรหัสลับบางอย่าง นั่นจะไม่แฮชรหัสผ่านอย่างถูกต้อง แต่ก็ยังดีกว่า "แบบธรรมดา" (และค่อนข้างน่าพอใจหากการถอดรหัสและการจัดการรหัสผ่านเกิดขึ้นเฉพาะในสภาพแวดล้อมที่ปลอดภัย เช่น HSM)

ฉันไม่ได้บอกว่าเป็นไปไม่ได้ที่จะใช้ "เคล็ดลับความคิดของเจได" และโน้มน้าวใจผู้รู้กฎหมายในบางสิ่ง เช่นเดียวกับที่ทำกับการรับรองเครื่องบิน แต่นั่นเป็นสิ่งที่ฉันไม่ยอม นอกจากนี้ยังนอกหัวข้อ