Cosa c'è di sbagliato nel generare una password per te senza archiviarla?
Come mai MasterCard nell'elenco dei criminali di testo normale ?
Cosa c'è di sbagliato nel generare una password per te senza archiviarla?
Come mai MasterCard nell'elenco dei criminali di testo normale ?
Potrebbero esserci 50 sfumature di area grigia per quanto riguarda quanto male sia la violazione. Ecco un ordine suggerito che inizia con il reato peggiore:
Note:
Nota finale: se un utente malintenzionato ha aperto l'accesso al proprio account e-mail, si potrebbe obiettare che anche il n. 6 non ti protegge, dal momento che l'utente malintenzionato potrebbe reimpostare la password su un sito bancario, ricevere il link di reset e modificare la tua password, quindi accedi al sito. Questo è assolutamente vero. Tuttavia, la prossima volta che proverai ad accedere al sito non sarai in grado, e spero, arriverà alla conclusione che qualcosa non è giusto, che porterà a un'altra modifica della password e forse anche a una modifica della password sul tuo account di posta elettronica . Alcuni siti ti diranno anche l'ultima volta che hai cambiato la tua password per aiutarti a raggiungere questa conclusione da solo.
Poiché la maggior parte degli utenti non modifica la propria password dopo tale reimpostazione e istruisce il browser senza salvare la nuova password e / o il sito non impone agli utenti di modificarlo dopo il loro primo accesso.
Quindi inviano efficacemente la nuova password in testo semplice, quindi sono colpevoli.
Un modo migliore potrebbe essere un One-Time-Token per la reimpostazione della password, preferibilmente inviato tramite posta ordinaria o SMS.
Email (SMTP / POP3 / IMAP) è testo in chiaro, quindi è possibile che la password possa essere intercettata sulla rete o archiviata da una terza parte.
La descrizione nella sezione About della loro pagina mi dà l'impressione che la definizione di Plain Text Offender dipenda esclusivamente dalla memorizzazione di dati:
A website storing a password in plain text means that your password is there, waiting for someone to come and take it. It doesn’t even matter if you’ve created the strongest possible password. It’s just there.
Whether it’s someone hacking into their servers, using a simple flaw in their site or even stealing their backups, over 30% of sites store plain text passwords.
We’re tired of websites abusing our trust and storing our passwords in plain text, exposing us to danger. Here we put websites we believe to be practicing this to shame.
(sottolineatura mia)
Leggendo questo, sembra che avere una nuova password generata via email non permetta a necessariamente di rendere l'azienda un semplice autore di testo in base alla loro definizione. Questo presuppone che STANNO ancora l'hash della password (e, si spera, salata).
Tuttavia, direi che inviare per e-mail a un utente la propria password non è l'ideale, indipendentemente dai motivi indicati da SmokeDispenser e wireghoul.
Leggi altre domande sui tag password-management