La mia città ha la fatturazione online per le utility. Quando configuri un account, ti inviano il tuo nome utente e la password via email. Non puoi cambiare la tua password senza che ti venga inviata di nuovo via email. Non è così insicuro? Non significa che il mio nome utente e la mia password vengono inviati in chiaro e qualcuno può accedere al mio account?
Sì, è corretto. I principi di sicurezza impongono che tu possa essere in grado di impostare la tua password.
È decisamente una cattiva pratica. Ciò significa che non esistono meccanismi di hashing della password e l'applicazione conosce le password utilizzate dai suoi utenti.
Raccomando di non utilizzare la stessa password per le altre attività online.
Riesco a dire che questa è una pratica molto povera, ma a seconda della situazione, potrebbe semplicemente essere "scarsa" anziché "disastrosa".
Ad esempio, se le informazioni di fatturazione a cui si accede con quelle credenziali solo mostrano il consumo di energia per il numero utente 3187987 per il mese corrente (laddove tale numero è univoco e non correlato a una persona o indirizzo) quindi una violazione non rivela informazioni molto sensibili.
Alcuni sistemi sono progettati deliberatamente con questo in mente; non sappiamo se questo si applica alla tua situazione.
Ti incoraggerei a mandare email al tuo consiglio e spiegare perché sei preoccupato per la situazione attuale (facci sapere cosa dicono).
Una soluzione alternativa, solo per moderare tutto questo fallo piangente: le password sono hash e memorizzate come associate ai nomi utente nel server e la risposta a una "domanda di sicurezza" (che dobbiamo presumere esiste) viene utilizzata per hash la password. Questa è la soluzione al problema principale: le password vengono sottoposte a hash in modo tale che il server, che dobbiamo assumere non memorizzi le risposte ma semplicemente invii il testo in chiaro della password decrittografata indipendentemente dalla sua correttezza. Ora, l'hash non sarebbe molto strong, ma funzionerebbe. Per quanto riguarda l'invio tramite testo in chiaro, ci sono una grande varietà di cose che qualcuno potrebbe fare per te se leggono le tue e-mail, incluso, ad esempio, il ripristino della password di Paypal (utilizzando il link per la reimpostazione della password). Perché mai si preoccuperebbero di leggere le bollette?
Sono a conoscenza del fatto che, a meno che non stiano facendo qualcosa per recapitarvi in modo sicuro l'e-mail, stanno effettivamente scrivendo la vostra password su una cartolina e inviandole per eventuali sniffer da vedere. In combinazione con il sistema con le informazioni personali (nome, telefono, indirizzo, ecc.) E finanziarie, sarei preoccupato. E mentre è un'ipotesi, direi che altre aree di sicurezza all'interno di questa applicazione non saranno molto migliori.
Se contatti l'e-mail generale che richiede assistenza per il supporto tecnico, potresti essere in grado di contattare una persona che sarà in grado di contattare lo sviluppatore, che potrà quindi parlare con lui.
Non essere in grado di impostare la propria password al giorno d'oggi sembra un po 'strano. È perché non si fida degli utenti di usare password complesse, o perché è più facile per loro generarlo automaticamente? (Io penserei a quest'ultimo)
Per quanto riguarda l'invio del nome utente e della password via email, non è l'unico sito web che lo fa subito dopo la registrazione. Se in seguito richiedi la tua password e te la rispediscono di nuovo, significa che l'hanno memorizzata in chiaro. Se invece generano una nuova password, si spera che non vengano archiviati in testo non crittografato.
Se stanno utilizzando HTTPS per inviare l'email e stai utilizzando HTTPS per leggerlo, dovrebbe essere sicuro, giusto? (a patto che ovviamente non memorizzino le password in testo in chiaro, e ancora meglio aggiungano un unico sale a ciascun account)
Leggi altre domande sui tag passwords