Ricevere una e-mail con il mio ID utente e la password subito dopo la registrazione su un sito Web non è raro. Tuttavia, credo che sia una cattiva pratica, in quanto sembra che quelle e-mail non possano davvero essere rese sicure.
Non è certamente una pratica sicura. Ma se i siti non sicuri che utilizzano questa pratica sono peggiori di altri siti non sicuri, dipende dai tuoi utenti e dal modello di minaccia.
Se il 50% delle password dei tuoi utenti sono "111111", "qwerty" e "bugmenot" e il 45% sono uguali ai loro accessi, potresti effettivamente migliorare la sicurezza in questo modo.
Se la tua politica di reimpostazione della password non richiede altro che l'e-mail dell'utente, che è molto comune, allora qualsiasi MITM o chiunque abbia accesso alla posta del tuo o dell'utente ha già la porta aperta. Tuttavia, non sono l'unica minaccia ...
Il vero problema sono le implicazioni di tale pratica. Si spera che le password non vengano archiviate in testo in chiaro, ma le e-mail vengano conservate in alcuni database e queste password si diffonderanno quando si viene estratti. Ottengo un sacco di offerte di spam mirate per vendere il DB utente di un sito Web che gestisco; non so quante persone accettano quelle, ma alcune lo fanno chiaramente.
Naturalmente, se l'unica cosa di valore sul tuo sito web sono gli indirizzi e-mail degli utenti, il danno deve essere ponderato contro la mitigazione del danno dal riutilizzo della password per gli utenti a cui non interessa.
Per un sito che ha dati utente di valore reale, o soprattutto finanziario, qualsiasi trasmissione della password è altamente inappropriata. Anche se deve essere modificato immediatamente, tale accesso occasionale viene eseguito meglio con un token di autenticazione monouso. Quindi è improbabile che qualsiasi sito che segue questa pratica sia progettato in modo sicuro.
In breve, potresti dire a questi webmaster questo:
E: Se non conosce la tua password, la sua posizione legale è molto più strong.
Leggi altre domande sui tag email password-management