Recentemente ho fatto domanda per un posto di lavoro in un'azienda che creava
security-critical solutions for military, aerospace, ...
Dopo essermi registrato sulla loro pagina web, ho ricevuto un'email con il mio nome utente e una password monouso in chiaro> . La mia prima reazione fu di saltare in orrore della loro incompetenza, specialmente dato che la sicurezza dovrebbe essere la loro competenza , ma dopo averci pensato un secondo, mi resi conto che sono un nuovo utente e che nulla è ancora in gioco. Ma in seguito vedo che la loro funzione di reimpostazione della password invia in realtà una password monouso in chiaro .
Questo mi ha fatto pensare, è davvero così brutto inviare una password monouso in testo semplice ? Soprattutto quando qualcuno che afferma di guadagnarsi da vivere in sicurezza lo fa?
Stavo leggendo questa risposta ad alta tensione che diceva che non dovresti mai inviare alcuna password tramite e-mail. Invece se il tuo utente dimentica la sua password, dovresti inviare loro un link per la reimpostazione della password one-time .
Ma qual è la differenza fondamentale tra una password singola e una singola?
Finora, non sono riuscito a trovarne. I due indizi più vicini che ho sono:
-
La risposta in alta voce menziona che:
Do all of this over SSL.
Cioè, invia il collegamento one-time su SSL. Non capisco assolutamente questo punto. Come puoi inviare a qualcuno un link di ripristino una tantum (in email presumibilmente) su SSL?
-
C'è stato un commento di @Anders sotto questa domanda che indica che un link scadrà, ma una password monouso non lo farà. Ma ancora una volta, non lo compro. Le password do scadono se le desideri.
Inoltre, se l'utente ha un nome utente diverso dal suo indirizzo email, una password monouso può essere più sicura di un link per la reimpostazione della password. Chiunque può intercettare il collegamento, accedere e rubare dati, ma se è solo l'utente che conosce il nome utente, solo lui può utilizzare la password monouso.
Sai come reagiscono le persone che si occupano di sicurezza delle informazioni quando sentono le parole password e testo semplice nella stessa frase, giusto? Se un link per la reimpostazione della password monouso è solo un nome utente + password monouso, questa pratica dovrebbe essere guardata dall'alto in basso ancora più , ho ragione?
Tutto sommato: L'invio di password monouso via e-mail in chiaro significa assoluta incompetenza?