Cosa c'è di sbagliato in un sito Web che include una password in un'email di conferma? [duplicare]

Naviga le tue risposte
2

Di recente mi sono registrato per un sito web e ho ricevuto un'email che diceva "Grazie per esserti registrato, ecco il nome utente e la password che hai utilizzato per registrarti".

Il webmaster mi assicura che le password in chiaro non sono archiviate nel database, ma anche se il testo in chiaro è mantenuto abbastanza a lungo per inviare l'e-mail, è ancora un brutto segno, giusto?

Ci sono altri rischi oltre "l'e-mail non è sicura, quindi non si dovrebbero inviare le password per e-mail"?

    
posta Jeff Burka 12.03.2014 - 02:34
fonte

2 risposte

3

Quando un webmaster ti invia una password in chiaro, questo di solito implica che non hanno password hash, che è un brutto segno. Ma quando il webmaster ti ha assicurato che lo fa subito dopo aver inviato la mail di conferma, presumo in buona fede e presumo che dicano la verità. È improbabile che quei pochi microsecondi in più durante i quali il sistema ha accesso alla password in chiaro non sia un rischio realistico aggiuntivo per la sicurezza. Ma l'invio di password in chiaro tramite e-mail è ancora un pericoloso anti-pattern che dovrebbe essere evitato:

  • Le email vengono generalmente trasferite e archiviate non crittografate . Ciò significa che una password potrebbe essere compromessa dal tuo provider di posta o da qualsiasi server intermedio.
  • È vulnerabile alla spaccatura accidentale (o intenzionale). Il motivo per cui tutti gli input delle password oscurano i caratteri immessi è che è possibile registrare un account e accedere a esso mentre si ha un'altra persona con sé. Ma quando la password appare in chiaro nella mail di conferma, quella persona la vedrà (non hai ragione di credere che la posta conterrà informazioni sensibili tranne il solito "benvenuto a yadda yadda" clicca qui per attivare l'account yadda yadda ", quindi non avresti motivo di dire loro di distogliere lo sguardo quando lo apri).
  • compromette il tuo account quando qualcuno ti dà un'occhiata alla tua email. Ad esempio quando l'hai effettuato l'accesso da un computer pubblico e non hai effettuato il logout o lasciato la tua scrivania senza bloccare il desktop mentre hai compagnia. Si potrebbe obiettare che il proprio account e-mail è la chiave principale per la propria identità online perché consente di ripristinare o richiedere (senza password! Bad!) La password di quasi tutti gli altri account in uso, quindi è necessario proteggerli ad ogni costo. Ma la richiesta di password tramite e-mail lascerebbe tracce e ti dirà come e quando è stata ottenuta la tua password. Basta scorrere la tua posta mentre non stai guardando non lo farebbe.
risposta data 12.03.2014 - 10:50
fonte
1

L'invio di una password permanente via email non è accettabile se ti interessa la sicurezza dell'account.

Tuttavia, se il sito web non è importante per te (ad esempio, un forum di discussione), allora potrebbe non avere importanza.

Che cos'è la protezione tramite password?

La password è pensata per proteggere te e le tue informazioni?

O è inteso a beneficio del sito web, come ad esempio consentire al sito di tracciare la tua attività o di proteggere da "utenti sconosciuti" dai post? Ci sono così tanti siti che ti richiedono di registrarti ma che ti danno poco valore.

Se qualcuno ha rubato il mio account su questo sito, sarei triste ma mi piacerebbe superarlo. Se hanno rubato i dati del mio conto bancario, questa è una storia diversa.

    
risposta data 12.03.2014 - 04:09
fonte

Leggi altre domande sui tag

Quanto è sicura la tecnica di scambio di chiavi Anti-MITMA Diffie-Hellman di Samy Kamkar? Memorizza le parti di un indirizzo IP, affinché l'utente rimanga anonimo?