那些遇到过的问题

在网站的电子邮件通信过程中发送密码信息是否有意义

Sam*_*Sam 6 security passwords usability

大多数注册的在线网站确实发送了激活网站的链接,并与最终用户进一步通信,提供有关网站的信息,并提供明文密码的登录凭证(如下所示)

用户名 - myname@gmail.com密码 - mysecretpassword

在这种情况下你会做什么?从可用性的角度来看,以明文形式发送密码信息是否有意义,或者您是否应该避免发送此信息.我的印象是,大多数密码在存储到数据库之前都是MD5哈希值,因此服务提供商无权访问明文密码,这是否违反安全规定?

Mat*_*ell 6

这是一个普遍存在的谬误,如果您以纯文本形式接收密码,则意味着它们不会安全存储 - 可以使用可逆加密存储任何其他数据的密码.

话虽如此,很可能任何向你发送明文密码的人都没有关于安全性的线索,并且可能会不经意地存储它们(除非密码被用作弱的真实世界标识符,比如作为店内会员计划的一部分) ,在这种情况下,它们不应被称为密码,以免您的客户感到困惑).

如果您发送明文密码,您可以假设如果它与某些重要内容相关联,那么它就会受到损害.有太多的弱点.你还可以做更多的无意伤害.

  1. 该电子邮件可能会被截获,并向其他人提供密码.
  2. 有人可以看到他们在他们的屏幕上打开电子邮件(在配偶的房子里,这种情况多次发生在我们这两个人身上,每次更改所有密码都是一件非常头痛的事情).
  3. 电子邮件可能会转发到其他不安全的地址.
  4. 电子邮件可能会反弹/遇到服务器错误然后您(可能是您的不受信任的员工或外包服务台?),电子邮件服务器的系统管理员可能会获得原始电子邮件的副本.
  5. 通过cookie劫持或甚至只是简单无人看管的开放电子邮件帐户访问用户电子邮件的人现在可以看到他们的密码.更糟糕的是,他们的密码可能在其他地方使用(或者至少有一个共同的词干,例如"password1","password1 $$""passwordSuperSecure123"),所以你现在已经妥协了,而不仅仅是你自己的服务.更糟糕的是,它可能是被劫持的电子邮件帐户的密码,现在他们可以窃取此人的电子邮件帐户,从而比cookie /会话的到期日期更长时间.(这一切都发生在我认识的人身上).

  • 这根本不是谬误.密码不应*使用可逆加密存储.整个系统(包括数据库和密钥)都受到损害是很常见的.如果您使用可逆加密,则意味着攻击者可以访问密码(用户通常会反复使用密码,并且在多个位置).如果使用盐渍和散列,则不会. (5认同)
  • 谬误是以明文形式发送的密码表示以明文形式存储的密码.如果他们可以访问您的密钥和数据库,那么您可能手头有更大的问题.如果他们可以访问您的salt和您的数据库,那么他们仍然可以生成一个彩虹表,不应该花那么长时间来打破大部分散列密码. (2认同)

Mat*_*hen 5

是的,这绝对是违反安全规定的行为.只应存储盐渍和散列版本的密码.

常见的有发送或者临时自动生成的密码(应该是不错的只有一个登录)或一次性重置链接重设密码的功能.这意味着您的其他帐户仅与您的电子邮件一样安全.

但是,您应该避开任何会以明文形式通过电子邮件发送实际密码的网站.

归档时间:

查看次数:

733 次

最近记录:

15 年,7 月 前
相关归档
如何从匿名委托或lambda访问安全关键字段? 19
Django JSON反序列化安全性 12
如何在使用Active Directory角色和身份验证提供程序时提供ASP.NET窗体身份验证UX? 10
使用spring security在身份验证失败后重定向回原始页面 8
JWT RS256,RS384和RS512算法有什么区别? 7
Assembly.CreateInstance和安全性 6
是否可以在两个不同的设备上创建同步随机数? 5
ELMAH:ASP.NET安全性 4
通过揭示内部私有IP来阻止Elastic Load Balancer 3
如何将密码传递给"su"命令? 2
难疑归档
为什么HTML认为"chucknorris"是一种颜色? 7264
在JavaScript中深度克隆对象的最有效方法是什么? 5181
适用于Android UserManager.isUserAGoat()的用例? 3506
__str__和__repr__之间的区别? 2545
PHP:从数组中删除元素 2362
如何在Python中追加文件? 1446
Git push需要用户名和密码 1327
在Python中使用大写字母和数字生成随机字符串 1247
HTML中"role"属性的目的是什么? 1122
在Ruby on Rails中对nil v.空v.空白的简要解释 1098