Парола за регистрация в plain text ?

[Уърдпреско]

Здравейте,

Каква е тази практика, която отдавна би трябвало да е изчезнала да се изпраща по email паролата при регистрация в plain text формат?

Благодаря!

 

[Attacker]

Това е нищо. Има една компания с милиарди оборот, чийто вътрешен уеб софтуер няма SSL сертификат. Явно не им се занимава да си инсталират сертификат за $10, а вместо това предпочитат чувствителна финансова и оперативна информация за цялата им дейност да обикаля из интернет като plain text. А имат сигурно поне 100 души IT отдел.

Какво остава за някакви сайтчета, които пращат пароли чрез имейл. Ще го оправят, когато под някаква форма бъдат притиснати - дали чрез закона, дали при случай на изтекла информация на клиент.

 

[hristonev]

plain text формат

Ако ти я пратят sha512 ще можеш само да учиш английската азбука от низа на паролата. Иначе добрата практика е да ти пратят линк с валидност токън ауторизация.

 

[Уърдпреско]

Ако ти я пратят sha512 ще можеш само да учиш английската азбука от низа на паролата. Иначе добрата практика е да ти пратят линк с валидност токън ауторизация.

Добри практики има много. Просто някак си не разбирам как през 2018 все още фирмите не инвестират 3-4 часа време за използват някоя от тях. И то големи български хостинг компании, които твърдят, че държат на сигурността...

 

[hristonev]

Изводите се вадят лесно . Драсни коя е компанията да знаем къде държат на протокола за сигурност.

 

[Уърдпреско]

Изводите се вадят лесно . Драсни коя е компанията да знаем къде държат на протокола за сигурност.

Правя проучване за мой проект, който не е свързан със сигурност, просто ми се наби на очи. 2 от 2 до сега БГ хостинг компании изпратиха паролите в plain text. Superhosting и Jump.bg

https://www.dropbox.com/s/4qv7g7sb1av901f/Screenshot 2018-01-10 09.31.52.png?dl=0

Скоро ще тествам други.

 

[isilona]

а каква е драмата да ти пратят паролата в плейн текст .. че админа на мейл провайдъра ти ще я прочете ?

 

[hristonev]

а каква е драмата да ти пратят паролата в плейн текст .. че админа на мейл провайдъра ти ще я прочете ?

Мейла по същина не е сигурно средство за комуникация (VPN е отделно). За някое блогче може да няма значение, но има проекти, в които сигурността е перо. След като рут паролата ти може да е била компрометирана то има ли смисъл да говорим по-натам за сигурност. Това е равносилно да пазиш плейн пароли на потребителите в базата. И не може да се очаква от хора/фирми имащи се за професионалисти!

 

[AMitrev]

Драматурзи сте големи.

Кой от вас ползва паролата по-подразбиране, която му е изпратена от хостинг доставчика?

 

[Уърдпреско]

Драматурзи сте големи.

Кой от вас ползва паролата по-подразбиране, която му е изпратена от хостинг доставчика?

По-големият проблем тук според мен е, че се изпраща паролата, която аз въвеждам при регистрация (не генерираната за cpanel акаунта, FTP акаунта и т.н.) в plain text формат. За повечето хора може и да не е драма, обаче всеки всеки, който поне малко държи на личните си данни се стресира когато види нещо такова при професионална фирма.

За мен какъв е извода - всичко, което въведа като лични данни в акаунта е фира. Иначе както се вика - всеки има глава на раменете си. Просто исках да споделя

 

[isilona]

Пробвай функционалността за забравена парола .. ако тогава тия я върне в плейн текст е притеснително ..
Това че я праща при регистрация, не значи че не я bcrypt-ват като я записват в базата, а мейла да сглобяват преди това.