Надсилання паролю на імейл це порушення безпеки

[alevikpes]

Вітаю!


Щойно зареєструвався і відразу отримав мій пароль на імейл. Взагалі, це дуже велике порушення кібер безпеки, бо мій логин-пароль тепер відомий не тільки мені, а ще й всім адміністраторам цього сайту, а можливо і іншим особам.


По перше, мій пароль мав бути зашифрований одностороннім алгоритмом і тільки тоді збережений у базі данних.
По друге, пароль не має "гуляти" по інтернету від імейла до імейла. Це саме стосується і нагадування пароля.


Я не знайшов на форумі жодного поста про це, і це дивно, невже ніхто, серед 5213 осіб, про це не подумав?


Вам варто змінити це якнайшвидше.

[recht]

А ви не подумали про те, щоб одразу змінити пароль?

[post-factum]

А ще ви не подумали про менеджери паролів і про принцип «один сайт — один пароль»?

[Cthulhu]

Шапочку з фольги начепіть, помагає.


Edit:

А ще ви не подумали про менеджери паролів і про принцип «один сайт — один пароль»?

Ну, так теж можна

[alevikpes]

Звичайно я можу це зробити, але ж новий пароль так само зберігається незашифрованим.

[Cthulhu]

Звичайно я можу це зробити, але ж новий пароль так само зберігається незашифрованим.

Пруфу з коду SMF, звичайно, не буде, в силу відсутності такого коду. Почитали ви б щось на тему, абощо, перш ніж виступати з такими порадами.

[alevikpes]

авжеж, я користуюсь менеджером паролей і мої паролі згенеровані автоматично і мають довжину 24 символи щонайменьше. І я маю капелюха також.



Ви можете як завгодно жартувати, але проблема існує і, як ми вже бачимо, багато людей її ігнорують ...

[alevikpes]

Пруфу з коду SMF, звичайно, не буде, в силу відсутності такого коду. Почитали ви б щось на тему, абощо, перш ніж виступати з такими порадами.

Пруф - це те що я отримав свій пароль на імейл. Який ще пруф потрібен?

[Cthulhu]

Пруфу з коду SMF, звичайно, не буде, в силу відсутності такого коду. Почитали ви б щось на тему, абощо, перш ніж виступати з такими порадами.

Пруф - це те що я отримав свій пароль на імейл. Який ще пруф потрібен?

*sigh*

[prapor]

Як. Перестати. Реготати. Як. Навіжений.

Такої дурні не читав давно.

[f1g4r0]

Вам варто змінити це якнайшвидше.

Я з Вами цілком згідний, alevikpes. Одміни сього форуму страшні провокатори зневіри в кібер-сібер безпеку. Їм вдалось скомпрентувати відразу два сервіса : і цей форум, і сервіс вашої пошти, а може навіть ще й ваш менеджер паролів.. хм, я б це так не залишив.

[ZEN]

Я теж вважаю, що надсилати пароль відкритим текстом це погана практика. Відредагуйте шаблон емейлу, Для цього навідь не потрібні навички програмування.

[prapor]

Я теж вважаю, що надсилати пароль відкритим текстом це погана практика. Відредагуйте шаблон емейлу, Для цього навідь не потрібні навички програмування.

Ще один. Головне питання: навіщо це робити? Що такого таємного у тимчасовому паролі, переданому відкритим текстом через криптозахищений канал?

[Миха́йло Даниле́нко]

Код: [Вибрати]

MariaDB [l*u]> select member_name, passwd from smf_members where id_member=5314;
+-------------+------------------------------------------+
| member_name | passwd                                   |
+-------------+------------------------------------------+
| alevikpes   | c**************************************c |
+-------------+------------------------------------------+
1 row in set (0.00 sec)
Ваш пароль починається і кінчається на c? Не думаю.

[Cthulhu]

Ще один. Головне питання: навіщо це робити? Що такого таємного у тимчасовому паролі, переданому відкритим текстом через криптозахищений канал?

Та що ти розумієш. Всім відомо, що таємний світовий окупаційний уряд рептилоїдів перехоплює і читає всю комунікацію - звісно, з метою одурманювання і контролю популяції. Дуже можливо, що після перехоплення листа з тимчасовим паролем якийсь ящур залогіниться на LOU раніше, ніж наївна жертва змінить пароль, і викладе на LOU історію його бровзера.