È giusto inviare per posta elettronica a qualcuno la propria password da un account appena creato? [duplicare]

Vedo un problema nel fatto che stai inviando la password in formato testo attraverso un collegamento non criptato. Chiunque monitorasse la trasmissione dei dati in qualsiasi punto tra il PC dell'utente e il tuo sito sarebbe in grado di acquisire la propria password.

Se hai inviato una password di utilizzo 1 che poi dovevano cambiare quando hanno effettuato l'accesso, allora sarebbe meglio.

In una certa misura il tuo pensiero è corretto. Se gli utenti possono reimpostare la password con accesso all'account e-mail, non vi è alcun rischio che la password in chiaro sia nell'account e-mail.

Tuttavia ci sono altri problemi con questo. in primo luogo se si invia la password tramite e-mail, potrebbe essere trasmessa in chiaro su reti non attendibili (non si ha il controllo del percorso e dell'archiviazione della posta elettronica), il che potrebbe risultare compromesso.

Inoltre ci sono possibili scenari in cui un utente malintenzionato potrebbe avere accesso al testo delle e-mail degli utenti senza necessariamente avere accesso interattivo al proprio account. Ad esempio, se un client IMAP / POP memorizza i dati su una macchina locale e l'autore dell'attacco ha accesso a tali dati.

Infine potresti avere un problema di percezione della sicurezza. La dottrina standard è che le password non devono essere registrate o archiviate in testo non crittografato, quindi, rompendo, ti apri alle accuse di scarsa sicurezza, indipendentemente dal fatto che lo siano o meno.

Nel complesso, forse una soluzione migliore sarebbe offrire agli utenti la possibilità di visualizzare la password mentre la inseriscono (come fa Windows 8). Quindi, per impostazione predefinita, sarebbe nascosto ma possono eseguire un'azione (ad esempio facendo clic su un pulsante) per mostrare la password sullo schermo non appena vengono inseriti, in modo che possano confermare di averlo digitato correttamente.