1. дома
  2. Вопрос и ответ
  3. Имеет смысл отправлять информацию о пароле при отправке по электронной почте с веб-сайтов

Имеет смысл отправлять информацию о пароле при отправке по электронной почте с веб-сайтов

2010-06-18 1 views
6

Большинство интернет-сайтов по регистрации действительно отправляют ссылку для активации сайта и на любой последующей переписке с конечным пользователем они предоставляют информацию о сайте, а также предоставляют учетные данные для входа с паролем открытым текстом (как указано ниже)Имеет смысл отправлять информацию о пароле при отправке по электронной почте с веб-сайтов

Имя пользователя - [email protected] пароль - mysecretpassword

что бы вы сделали в таком случае? С точки зрения удобства использования имеет смысл отправлять информацию о пароле в виде открытого текста или просто не отправлять эту информацию. У меня создалось впечатление, что большинство паролей MD5 хэшируются перед сохранением в базе данных, и, следовательно, у поставщика услуг не будет доступа к открытым текстовым паролям, это нарушение безопасности?

источник

2010-06-18 Sam

+5

Я знаю, что делаю, когда вижу это. Я посылаю электронное письмо на сайт, спрашивая их, почему они не заботятся о безопасности. –

ответ

6

Это общепринятая ошибка, что если вы получаете пароль в текстовом виде, это означает, что они не хранятся безопасно - пароли, подобные любым другим данным, могут быть сохранены с использованием обратимого шифрования.

Сказав это, очень вероятно, что любой, кто отправит вам пароль с открытым текстом, не имеет понятия о безопасности и, вероятно, хранит их небрежно (если только пароли не используются как слабые идентификаторы реального мира, например, как часть -store, и в этом случае их не следует называть паролями, чтобы ваши клиенты не путались).

Если вы отправляете текстовый пароль, вы также можете предположить, что если он связан с чем-то важным, то он был скомпрометирован. Слишком много слабых мест. Вы также можете сделать намного больше непреднамеренного урона.

  1. Письмо может быть перехвачено, предоставив кому-то еще пароль.
  2. Кто-то мог видеть, как они открывали электронную почту на своем экране (были в домах товарищей, и это случалось с нами так много раз, и каждый раз это огромная головная боль, чтобы изменить все ваши пароли).
  3. Письмо может быть отправлено на другие адреса, которые не являются безопасными.
  4. Возможно, сообщение электронной почты может столкнуться с ошибкой сервера, а затем вы (возможно, ваш ненадежный персонал или аутсорсинг службы поддержки?), И системный администратор сервера электронной почты, вероятно, получит копии исходного электронного письма.
  5. Кто-то, кто получает доступ к электронным письмам пользователя с помощью захвата файлов cookie или даже просто незарегистрированной открытой учетной записи электронной почты, теперь сможет видеть их пароль. Хуже того, их пароль, вероятно, используется где-то в другом месте (или, по крайней мере, имеет общую основу, например «password1», «password1 $$» «passwordSuperSecure123»), поэтому теперь вы подверглись риску больше, чем просто ваш собственный сервис. Хуже того, это может быть пароль для учетной записи электронной почты, которая была захвачена, и теперь они могут украсть учетную запись электронной почты этого человека и, таким образом, идентификацию в течение более длительного времени, чем дата истечения срока действия cookie/сессии. (Это все произошло с людьми, которых я знаю).

источник

2010-06-18 03:44:00

+5

Это не ошибка. Пароли должны * не * храниться с использованием обратимого шифрования. Это слишком распространено для всех систем (включая базу данных и ключа) для компрометации. Если вы используете обратимое шифрование, это означает, что злоумышленник получает доступ к паролю (который обычно используется пользователями несколько раз и более чем в одном месте). Если вы используете соление и хеширование, они этого не делают. –

+2

Ошибочность заключается в том, что пароли, отправленные как открытый текст, указывают пароли, хранящиеся в виде открытого текста. Если у них есть доступ к вашему ключу и базе данных, то у вас, вероятно, есть большие проблемы. Если у них есть доступ к вашей соли и вашей базе данных, тогда они все равно могут создать таблицу радуги, которая не должна так долго ломать большинство хэшированных паролей. –

+0

@Matthew Flaschen: Если вы используете один и тот же пароль несколько раз, вы просите об этом. –

5

Да, это, безусловно, нарушение безопасности. Следует хранить только соленую и хешированную версию паролей.

Это является обычным для сброса пароля функциональности, которая отправляет либо временный автоматически сгенерированный пароль (который должен быть полезен только для одного входа в систему), либо одноразовую ссылку сброса. Это означает, что ваши другие учетные записи не менее безопасны, чем ваша электронная почта.

Однако вы должны избегать любого сайта, который будет отправлять ваш фактический пароль в виде чистого текста.

источник

2010-06-18 03:37:21

+1

, безусловно, избегают четкой текстовой передачи паролей. – Sam

1

Всегда есть компромиссы, и разработчикам приходится учитывать пригодность, сообразительность предполагаемых пользователей, секретность и важность данных, частоту использования веб-сайта и т. Д. Конечно, пользователи не хотят, чтобы их конфиденциальность нарушалась, но, с другой стороны, «обычные» веб-пользователи могут быть отключены, если вам нужно запомнить пароль или даже придумать их в первую очередь (некоторые веб-сайты упрощают регистрацию пользователя путем генерации случайный пароль и отправка по электронной почте). Разработчики сайтов несут ответственность за учет интересов пользователей при разработке безопасности.

Мой совет заключается в том, что пароли должны быть отправлены по электронной почте только в том случае, если они генерируются случайным образом. Это позволяет избежать следующего неудобного сценария: пользователь регистрируется с паролем, который они уже использует для различных других веб-сервисов, а затем получает письмо с подтверждением регистрации, содержащее только что введенный пароль. Многие пользователи не могут быть достаточно безопасными для использования уникальных паролей для каждого веб-сайта, но они являются достаточно безопасными для понимания того, что «чувствительные» пароли не должны отправляться по электронной почте.

источник

2010-06-18 13:54:08

 Смежные вопросы

  • Нет связанных вопросов^_^