没有密码的用户帐户

信息安全 密码 账户安全
2021-08-16 15:25:54

我目前正在找工作,有时我会遇到一些网站,这些网站只是巨大的数据库,里面有完整的招聘信息,在你申请之前,你必须创建一个帐户。我遇到了一个网站,但我对它的安全做法持怀疑态度。

当我找到一个我想申请的职位时,它要求我提供电子邮件地址,所以我输入了它。一个弹出窗口要求我提供简历和通常的联系信息。我提供了我需要的愿望并发送了我的申请。

但是我注意到,它使用了我的电子邮件地址并创建了一个用户帐户,而没有提示我输入密码。

马上,我对此感到震惊,所以我检查了我的电子邮件,以为该网站提供了一个临时密码,需要我更改,结果发现我必须确认我的电子邮件地址,然后被提示输入密码。从我的角度来看,我有一个没有密码的用户帐户可能有 3-5 分钟。

我怀疑是对的吗?我应该删除我的帐户吗?

4个回答

仅仅因为您没有设置密码,并不意味着您的帐户可以被访问。如果没有看到代码,我无法确定,但在您使用电子邮件中的链接设置密码之前,您可能无法登录您的帐户。当您继续使用该站点时,您仍在使用相同的会话 ID。

作为创建了这样一个用户注册工作流程的程序员,我可以向您保证,没有什么可担心的


一点背景资料

当您输入您的电子邮件时,不会创建任何用户帐户(是的,您没看错)。存储电子邮件、链接、到期时间和其他详细信息。验证电子邮件并输入密码后,将创建一个新的用户帐户。

一段时间后,如果未验证用户帐户,则有关用户的所有信息都将被删除。

所以,这里发生的事情是您的电子邮件在注册过程之前已经过验证。

为什么这样做?

我们这样做是为了避免创建虚假用户帐户。它还可以防止某人意外创建与您的电子邮件关联的用户帐户。


现在回答你的问题

我怀疑是对的吗?我应该“删除”我的帐户吗?

无需删除您的帐户。这是一种不常见的行为,但不是有害的行为。这只是一个附加的安全措施。

但是我注意到,它使用了我的电子邮件地址并创建了一个用户帐户,而没有提示我输入密码。

这种方法与提供更方便的用户体验有关;他们想要您的简历和详细信息,但不想打扰您猜测密码,因此他们只是让您选择花时间设置密码或永远不要回来,毕竟他们有您的详细信息。

如果您使用其他浏览器或机器上传具有相同电子邮件的简历,您可能会被告知已经存在具有相同电子邮件的另一个帐户,如果没有他们发送给您的链接,您或任何其他人仍无法访问该帐户。 (但不一定,因为这取决于他们如何管理唯一 ID)

我怀疑是对的吗?我应该“删除”我的帐户吗?我说删除引号,因为谁知道这是否会完成。

这种方法很常见。
您不必删除您的帐户,除非您有其他原因。

重要的第一点:除非他们做了一些非常愚蠢的事情,否则没有密码的帐户不会带来安全风险。相反,通常的做法是有人无法在没有密码的情况下登录帐户。从这个角度来看,创建一个没有密码的帐户,向用户发送电子邮件进行确认,然后让他们设置密码与设置临时密码相比并不安全。因此,这里没有真正的安全问题。