Hai dimenticato la password? - invia email con password in chiaro

4

Una società di formazione "rispettabile" che la mia università utilizza per la sua Fisica Naturalmente, i materiali online hanno inviato la mia password in chiaro in un'email dopo aver utilizzato lo strumento Forgot Password? .

So che questa è una cattiva pratica ed è un po 'sconcertante provenire da un'importante società "rispettabile".

Quello che voglio sapere è se sarebbe prudente o utile contattare l'azienda e chiedere / informarli su questo problema per vedere se sono disposti a risolverlo?

Devo prendere ulteriori precauzioni sul loro sito web se non utilizzando una password completamente unica?

    
posta Brandon Kreisel 14.10.2013 - 02:20
fonte

3 risposte

2

Quando qualcuno ha dimenticato la sua password, non c'è molto da costruire per consentire una "reimpostazione della password". L'uso dell'e-mail è debole ma c'è poca scelta.

Il problema è che ti mandano la tua password come testo in chiaro, il che significa che hanno la tua password memorizzata da qualche parte, non protetta. Questo è male . Se sei disposto a indicarli pubblicamente e prenderli in giro, puoi condividere la tua esperienza su questo sito ; tuttavia, le persone in generale non reagiscono bene alla beffa. Inviando loro un'email prima che sia utile:

  • Se non altro, aumenterà il tuo ego. Il ruolo del bravo ragazzo della storia è sempre elettrizzante.
  • Sono una istruzione che lavora con un'università: devono nominalmente conoscere il valore della conoscenza ed essere aperti ai suggerimenti.
  • Sono una società di formazione che lavora con una università : i loro utenti sono studenti , che sono, per quanto riguarda la sicurezza, un gruppo spaventoso: sono giovani, non completamente razionali , incline a colpire le cose per il gusto di farlo, hanno tempo a disposizione e hanno accesso a molta potenza di calcolo. Ciò evidenzia la necessità di una sicurezza davvero buona.

In ogni caso , il riutilizzo delle password è sbagliato. Dovresti già utilizzare una password specifica per il loro sito. Inviando di nuovo la tua password, la dimostra sicurezza sciatta, ma sarebbe irrealistico presumere che i siti Web medi facciano meglio. Una password per sito è la regola. Ovviamente ciò implica la gestione di molte password; questo può essere risolto con alcuni software di gestione password come questo .

    
risposta data 15.10.2013 - 14:28
fonte
3

Sicuramente penso che valga la pena di dire alla compagnia come ti senti riguardo al modo in cui gestiscono la tua privacy. Sono certo che la gestione spesso non conosce i dettagli tecnici o le implicazioni della politica di archiviazione della password.

Mi sono imbattuto in questo due volte con risultati misti:

  • T-Mobile: invia una password in chiaro al portale del tuo account quando invii il numero di telefono al link della password persa. Non erano interessati a conoscere il problema.

  • Jimmy Johns: il modulo per la password dimenticata inviava password in formato testo via email. Ho interrogato la pratica e si sono scusati e hanno immediatamente implementato un codice di reimpostazione della password. Non so se abbiano iniziato le password di hashing.

È una pratica orribile, e incoraggio chiunque a fare pressione sulle aziende che fanno questo.

    
risposta data 14.10.2013 - 03:43
fonte
3

Certo, potresti anche dirglielo ma non ti illudere. Nella mia esperienza, se l'intero dipartimento IT non si preoccupa / capisce la sicurezza, una e-mail da un estraneo non la cambierà.

Utilizzare una password di eliminazione è una buona idea. Se il tuo account viene compromesso potrebbe influire sulla tua vita al di fuori di questo sito, un'idea migliore sarebbe quella di non creare affatto un account.

Se invii un'email, ti suggerisco di inviarlo al dipartimento IT e all'ufficio del CEO. Potresti avere una migliore possibilità di ottenere qualcosa se sono preoccupati di finire nei guai.

    
risposta data 14.10.2013 - 03:49
fonte

Leggi altre domande sui tag