Vedo che la maggior parte delle aziende fornisce un login o una password in una e-mail, ma mai entrambe in una e-mail. Si tratta di una "best practice" o esiste una legge che impedisce alle società legittime di fornire entrambe le email?
Se esiste, sarebbe specifico per l'industria. Ad esempio, le leggi che regolano i reattori nucleari possono essere diverse da quelle che regolano i negozi di fiori. Per quanto ne so, negli Stati Uniti non esiste alcuna legge federale che vi vieta di inviare credenziali via email, anche nello stesso messaggio.
Personalmente, qualsiasi sistema che richiede una password da un utente finale dovrebbe avere un metodo per impostare / reimpostare quella password senza la necessità di inviare nulla all'utente, come l'utente che seleziona una password al momento della registrazione, e quindi essere in grado di reimpostare e scegliere un'altra password, preferibilmente confermando altri dettagli che sono stati impostati durante la registrazione come domande segrete ecc. Ciò garantirebbe che se qualcuno volesse ottenere la password, avrebbe o dovuto compromettere il sistema (hash / sale qualcuno?) o compromettere la macchina o la rete degli utenti.
No - non esiste alcuna legge contro di esso, ma l'invio simultaneo dei due dà il destinatario di quell'email, o chiunque la intercetta , accesso.
Separandoli, un utente malintenzionato dovrà intercettare due messaggi e se i due vengono inviati da media diversi (ad esempio, un'e-mail e un messaggio SMS), l'aggressore ha un compito ancora più difficile.
Leggi altre domande sui tag authentication legal