为您生成密码而不存储密码有什么问题?
比如为什么万事达卡在纯文本罪犯名单上?
为您生成密码而不存储密码有什么问题?
比如为什么万事达卡在纯文本罪犯名单上?
因为大多数用户在此类重置后不会更改密码,并且会盲目地指示他们的浏览器保存新密码和/或网站不会强制用户在首次登录后更改密码。
因此,他们有效地以纯文本形式发送新密码,因此他们是罪犯。
更好的方法可能是用于密码重置的一次性令牌,最好通过普通邮件或 SMS 发送。
电子邮件 (SMTP/POP3/IMAP) 是明文,因此密码可能会在网络上被截获或被第三方存储。
他们页面的“关于”部分的描述给我的印象是纯文本犯罪者的定义完全取决于数据的存储:
以纯文本形式存储密码的网站意味着您的密码在那里,等待有人来取走它。即使您创建了最强大的密码也没关系。它就在那里。
无论是有人入侵了他们的服务器、使用了他们网站中的一个简单漏洞,甚至窃取了他们的备份,超过 30% 的网站都存储了纯文本密码。
我们厌倦了网站滥用我们的信任并以纯文本形式存储我们的密码,从而使我们面临危险。在这里,我们让我们认为正在实践这一点的网站感到羞耻。
(强调我的)
读到这里,听起来确实像通过电子邮件将新生成的密码通过电子邮件发送给您并不一定会使公司根据他们的定义成为纯文本违规者。那是假设他们仍然存储散列的密码(并希望加盐)。
但是,出于 SmokeDispenser 和 wireghoul 所述的原因,无论如何,我会说通过电子邮件向用户发送他们的密码并不理想。
关于违规的严重程度,可能有 50 个灰色区域。这是一个从最严重的进攻开始的建议顺序:
笔记:
最后提示:如果攻击者对您的电子邮件帐户具有开放式访问权限,您可能会争辩说,即使 #6 也不能保护您,因为攻击者可以在银行网站上重置您的密码,接收重置链接并更改您的密码,然后登录网站。这是绝对正确的。但是,下次您尝试登录该站点时,您将无法登录,希望您会得出有问题的结论,这将导致再次更改密码,并可能更改您的电子邮件帐户的密码. 有些网站甚至会告诉您上次更改密码的时间,以帮助您自行得出结论。