Гэта добрая ідэя, каб адправіць пароль карыстача на рэгістр?

Я магу ўявіць сабе абодва шляхі - адправіць/не адпраўляць і да гэтага часу робяць яго бяспечным дастаткова ўнутры прыкладання.

Напрыклад: я атрымаць пароль ад «Увядзіце пароль» поле, захаваць яго ў шаблон электроннай пошты, а затым захаваць яго надзейна (толькі яго хэш) у базе дадзеных

  Hi, 
  We just registred you at our super awesome page.
  Your password is 
  Yada yada blah blah blah

Але маючы другую думка пра гэта, я ведаю дакладна, што <�моцнага> дасведчанага карыстальнікаў ведаюць, што калі сайт адпраўляе пароль у выглядзе простага тэксту, што сайт мае вызначана некаторыя праблемы бяспекі (= калі вы ўзламаць базу дадзеных, вы будзеце бачыць карыстальнікаў і іх паролі)

  Hi, 
  We just registred you at our super awesome page.
  We saved your password in super safe way, so we can only reset it at any given time
  Yada yada blah blah blah 

Я хацеў бы пачуць некаторыя ідэі, на якіх адзін лепш з пункту гледжання карыстальніка.

EDIT After third answer in style "do not store password plaintext" I want to make something clear:

  • Я woud FIRST адправіць электронную пошту, а затым хэш пароля ў базе дадзеных у абароненым рэжыме. Там няма ніякага спосабу, я б захоўваць паролі ў бдзе незашыфраваным (неабаронены). Гэта сапраўды толькі аб тым, ці павінен я адправіць пароль назад карыстачу ці не.
38
Нядаўна я атрымаў ліст, якое змяшчае пароль у выглядзе простага тэксту. Я паслаў ім ліст, якое тлумачыць маё непакой з гэтай нагоды. Некаторыя сайты фактычна захоўваць вашыя PW адкрытага тэксту для гэтых лістоў, хоць гэта ў большасці выпадкаў толькі часова. Нават калі яны гэтага не робяць, скампраметаванай кліент электроннай пошты, кампутар або сетка (WiFi), ці нават хтосьці будучы ў стане чытаць пошту досыць кампраметацыі. Я настойліва рэкамендую не адпраўляць паролі ў незашыфраваным выглядзе па электроннай пошце.
дададзена аўтар Bill Echo, крыніца
Я не магу ўспомніць, які сайт, але аднойчы я далучыўся да сайта, які паслаў палову вашага PW праз пошту, а другі з дапамогай SMS. Гэта былі паролі, якія генерыруюцца Тхо сайта »
дададзена аўтар Bill Echo, крыніца
У той час як зняволенне ў «дасведчаных карыстальнікаў ведаюць, што калі сайт адпраўляе пароль у выглядзе простага тэксту, што сайт мае вызначана некаторыя праблемы бяспекі (= калі вы ўзламаць базу дадзеных, вы ўбачыце карыстальнікаў і іх паролі)» праўдзіва, то разважанне не з'яўляецца: сайт, які належным чынам не захоўвае ніякіх пароляў, але толькі належным чынам захоўваць хэшы пароляў у базе даных, не ўспрымальны да апісванаму ўзлому БД, але ўсё яшчэ апрацоўвае фактычны пароль у момант рэгістрацыі карыстальніка і можа паслаць па-за адрас электроннай пошты толькі тады. Праблема бяспекі з'яўляецца тое, што ён пасылае PW ў (звычайны тэкст) па электроннай пошце.
дададзена аўтар O. R. Mapper, крыніца
@Philipp Дзякуй за старонку. Я адразу прадставіў адну кампанію там.
дададзена аўтар yo', крыніца
Nitpicky Заўвага: Не захоўваць зашыфраваным паролі, а захоўваць хэшированные паролі. Там тонкае адрозненне ...
дададзена аўтар Sanchises, крыніца
@ User1737909: Захоўванне пароля ў незашыфраваным вельмі дрэнна. Захаванне яго ў незашыфраваным выглядзе на невядомае колькасць невядомых паштовых сервераў паміж вамі і атрымальнікам, магчыма, <�я> значна горш, , чым захоўванне яго ў адкрытым выглядзе на ўласным серверы базы дадзеных.
дададзена аўтар Vince Pettit, крыніца
Зрабіце гэта, і вы апынецеся на plaintextoffenders.com
дададзена аўтар Zombie Prof, крыніца
О, гэтая частка. Ну, улічваючы, што мы пасылаем праз электронную пошту, я б сказаў, што гэта сапраўды адна невялікая частка, але так.
дададзена аўтар user32533, крыніца
Не ведаю, як plaintextoffenders любой дапамогі? Гэта праблема, калі яны пасылаюць вам назад ваш пароль у выглядзе простага тэксту, калі вы зарэгістраваны (і вы выкарыстоўвалі «страціў свой пароль" ці што-то), але як гэта можа быць парушэнне бяспекі, калі гэта толькі пасля рэгістрацыі, перш чым ён хэшируются?
дададзена аўтар user32533, крыніца
Гэта не вельмі добрая ідэя, так як адпраўка пароля карыстальніка па электроннай пошце, калі яны выкарыстоўваюць «страцілі свой пароль» спасылкі не з'яўляюцца. Ёсць шмат магчымых праблемы з бяспекай, калі вы робіце такія рэчы, такія як незашыфраваны трафік, ўзламаныя адрасы электроннай пошты, скрыншот бот і г.д.
дададзена аўтар Dincer Diren, крыніца
Калі вы занепакоеныя той наіўнага карыстальнікам забывання пароля яны зарэгістраваныя, вы можаце ўключаць у сябе інструкцыю аб тым, як скінуць пароль у «віншаваннях для рэгістрацыі» па электроннай пошце. Tumblr ідзе так далёка, каб паставіць «забыліся пароль» спасылку на кожнай электроннай пошце яны пасылаюць!
дададзена аўтар Jim Dagg, крыніца

10 адказы

Не - гэта дрэнная ідэя:

а. Захоўванне пароля ў выглядзе звычайнага тэксту, а не хэшаваныя з індывідуальнай соллю. Больш падрабязна тут і .

б. Emailing пароль, як:

стар.1. лісты перадаюцца ў незашыфраваным выглядзе праз Інтэрнэт. Больш падрабязна тут </а > і .

В.2. Карыстальнікі могуць адкрыць электронную пошту і выпадкова падвергнуць іх просты тэкставы пароль для кагосьці, што стаіць побач з ім/за імі/камеру.


Also, from a technical point of view, if you attempt to email something without storing it to a database first and the operation fails (network problems, server problems, software problems), then you should be able to pull the pending operation from the database and retry it, otherwise your system is left in an inconsistent state (e.g. email was sent, account was not created or account was created, email was not sent).

95
дададзена
@Martijn дрэнная ідэя ... а. Ёсць незлічонае мноства OCRs для малюнкаў у тэкст. б. Пароль не можа быць чытаным, калі зацямняюцца з алгарытмам тыпу capchta. с. У чалавека ўсё яшчэ можа атрымаць незашифрованое малюнак і прачытаць яго. Акрамя таго, чытайце Iszi каментар да майго адказу тут .
дададзена аўтар Dag Haavi Finstad, крыніца
для б @PavelJanicek Глядзі рэдагавання.
дададзена аўтар Dag Haavi Finstad, крыніца
@PavelJanicek Вы маглі б думаць пра гэта так: замест таго, каб захоўваць пароль у незашыфраваным выглядзе ва ўласнай базе дадзеных (што дрэнна), вы захавалі яго ў незашыфраваным выглядзе на невядомае колькасць паштовых сервераў і кліентаў у неўстаноўленых месцах (што горш).
дададзена аўтар Viviana, крыніца
трымацца далей назапашванне: Уявіце сабе, як калі б я спачатку паставіць пароль на электронную пошту, а затым Хэшаванне яго ў маёй базе дадзеных ... Дарэчы, я не зразумеў (б) - не маглі б вы зрабіць яго больш ясным?
дададзена аўтар A. Burnheimer, крыніца
Цяпер я разумею: Іншымі словамі: Нават калі я захоўваю яго пазней сапраўды надзейна, шляхам адпраўкі ня-зашыфраваны пароль, я ў небяспецы, што хто-то будзе слухаць паведамленні. Правільна?
дададзена аўтар A. Burnheimer, крыніца
@PavelJanicek вы па-ранейшаму захоўваць яго ў выглядзе звычайнага тэксту - на паштовы сервер, паштовы сервер атрымальніка і патэнцыйна многіх іншых месцах, у залежнасці ад канфігурацыі атрымальнікаў электроннай пошты. Нават калі вы ствараеце малюнак (дрэнная ідэя па прычынах, названым вышэй) вы ўсё яшчэ распаўсюджваюць пароль вакол вашых сістэм, магчыма, як тэкст, магчыма, як вобраз, праз код, які не прызначаны для забеспячэння бяспекі пароляў, цалкам залішне. Плюс гэта дадатковыя накладныя выдаткі для вас ніякай рэальнай карысці.
дададзена аўтар niran, крыніца
Вы маглі б пераадолець «просты тэкст» праблему з простым GD выявай, проста зрабіць малюнак тэксту. Акрамя таго, я часам дадаць «Мы толькі адправіць у цяперашні час не шыфруецца яшчэ таму, не магу зрабіць іншы, таму што зашыфраваны то». Хоць 2B гэта прычына, ИМО не вельмі вялікая праблема, але вось мне
дададзена аўтар Martijn, крыніца

Паролі не павінны захоўвацца ў выглядзе простага тэксту ў любым месцы <�моцны>, уключаючы карыстальнікаў, паштовую скрыню . Што адбудзецца, калі яго электронная пошта скампраметаваны або калі ён быў уведзены няслушны адрас электроннай пошты, а хтосьці атрымлівае пароль?

34
дададзена
Праблема з няправільным адрасам электроннай пошты таксама дазволіць няправільнаму карыстачу скінуць пароль, калі ён не быў адпраўлены ў выглядзе звычайнага тэксту, калі скід пароль не выкарыстоўваюць пытанні бяспекі высокай якасці, каб не дапусціць гэтага.
дададзена аўтар Dag Haavi Finstad, крыніца
@ratchetfreak Як гэта звязана ў любым выпадку тое, што я напісаў? Я звяртаўся да «няправільны адрас электроннай пошты» пытанне, які з'яўляецца праблематычным, ці быў пароль адпраўлены ці не. Мой пункт гледжання ў тым, што вы павінны праверыць адрасы электроннай пошты пры рэгістрацыі.
дададзена аўтар Dag Haavi Finstad, крыніца
Праўда, вось чаму я ўключыў 2-ую спасылку XKCD ў маім адказе :-)
дададзена аўтар Dag Haavi Finstad, крыніца
@DannyVarod але архіваваць паштовую скрыню будзе ўключаць пароль дазваляючы зламысніку увайсці без неабходнасці доступу ў рэальным часе да паштовай скрыні (які скідае патрабуецца)
дададзена аўтар Kruga, крыніца
+1 «... калі ён быў уведзены няслушны адрас электроннай пошты, а хтосьці атрымлівае пароль?»
дададзена аўтар Mike, крыніца
@DannyVarod іншы атрымлівае карыстацкі доступ да нядаўна створанага ўліковага запісу не гучыць напалову так страшны, як той, які атрымаў фактычны пароль для гэтага ўліковага запісу для шанцаў той жа пароль можа быць выкарыстаны дзесьці ў іншым месцы.
дададзена аўтар SeiKun, крыніца
вось добры пытанне. Не лічу, што гэта, калі думае пра гэта. Дзякуй за гэта!
дададзена аўтар A. Burnheimer, крыніца
Захоўванне ў паштовай скрыні атрымальніка не адзіная праблема. Гэта таксама будзе незашыфраванымі праз Інтэрнэт з вэб-сервера на паштовы сервер атрымальніка, на дыску ў прамежкавым паштовым серверы залатнікоў файлаў і г.д.
дададзена аўтар jchook, крыніца

Калі ласка, не.

Я зачапіў (myfirstname) @ gmail.com некалькі гадоў таму. Ёсць некалькі іншых людзей, якія падзяляюць маё імя, і яны часам забываюць, што іх адрас электроннай пошты не з'яўляецца (myfirstname) @ gmail.com. У выніку, я атрымаў даволі збор асабістай інфармацыі пра іншых людзей з маім імем. Я атрымаў дадзеныя, такія як паролі, snailmail адрасы, даты нараджэння, нумары сацыяльнага страхавання (ці эквівалент для тых, хто не ў ЗША дам), адказы на пытанні бяспекі, і многае іншае. Я нават павінен быў назваць банк адной жанчыны, каб прымусіць іх спыніць па электроннай пошце мне свае банкаўскія выпіскі.

Вы можаце падумаць, што ваш карыстальнік ведае свой адрас электроннай пошты. Я хацеў бы думаць, што гэта справа таксама. Аднак, улічваючы колькасць асабістай інфармацыі, якую я атрымаў аб розных іншых жанчынах, названых Nadyne, гэта ня так правільна, як мы хацелі б, каб гэта было.

17
дададзена
@AlexC, у вас ёсць спасылка для гэтага?
дададзена аўтар kafuchau, крыніца
Маё сапраўднае імя Nadyne. Мой профіль спасылкі на мой сайт, які мае розныя метады, каб звязацца са мной. Нават калі гэта не так, маё імя з'яўляецца унікальным дастаткова, што пошук на маё імя паварочвае мяне на першай старонцы вынікаў. У мяне быў мой адрас электроннай пошты для дастаткова доўга для спамботы, каб дадалі яго ў свае спісы даўно. Я мяркую, што гэта магчыма, што нечыя боты досыць разумныя, каб зразумець, што (myfirstname) у гэтым пасце карты, але я быў бы здзіўлены, калі што шмат намаганняў былі пакласці ў яе. Улічваючы, што я не раблю ніякіх спроб схаваць сваю асобу тут, што такое неспакой?
дададзена аўтар kafuchau, крыніца
@Floris Яе адрас электроннай пошты публічна каціруюцца на сваім сайце. Але ў цэлым, я не думаю, што ёсць якая-небудзь прычына для ня ананімных карыстальнікаў баяцца іх электронная пошта публічна пералічаныя. Што магчымы шкоду? Падобна на тое, рабаванне звыш ад дзён, перш чым мы мелі эфектыўныя фільтры спаму.
дададзена аўтар weekbeforenext, крыніца
Yahoo сапраўды дрэнна, у цэлым; і спам-фільтры ў Gmail, сапраўды, вельмі добра.
дададзена аўтар James Hall, крыніца
@Floris, не ведаеце, хто ваш пастаўшчык паслуг электроннай пошты, але я з Gmail і можа разлічваць з аднаго боку, колькасць спам-паведамленняў, якія зрабілі гэта праз на маю паштовую скрыню на працягу апошніх некалькіх гадоў. Я лічу, што гэта вырашальная праблема.
дададзена аўтар Cello9, крыніца
@MikeChamberlain У мяне ёсць «ўкаранёная уліковы запіс электроннай пошты» з YMail; гэта конт я выкарыстоўваю, калі я павінен зрабіць некаторыя «сумнеўную» онлайн здзелку. У мяне ёсць GMail рахунак, які з'яўляецца чыстым - але тады я асцярожны, як я выкарыстоўваю яго ... Можа быць, я проста не пашанцавала, ці, можа быць, Yahoo сапраўды так дрэнна.
дададзена аўтар Floris, крыніца
@nadyne - вашы спам-фільтры павінны быць нашмат лепш, чым у мяне. Я нядаўна зрабіў нявіннае запыт на вэб-сайце, які патрабуецца па электроннай пошце, і маю паштовую скрыню трафік вырас у чатыры разы з тых часоў. Можа быць, я проста параноік. Ды маё сапраўднае імя Флорис ... Я не публічны сайт. Ваш блог гэта добра. Я не тое, што цікава.
дададзена аўтар Floris, крыніца
Я спадзяюся, што ваша сапраўднае імя не Nadyne - інакш вы проста пакласці ваш адрас электроннай пошты, там для свету. Будзем спадзявацца, што робаты ня разумная, а карыстальнікі на гэтым сайце ёсць цэласнасць. Добрая гісторыя.
дададзена аўтар Floris, крыніца

Там няма прычын, каб адправіць карыстачу копію свайго пароля пры рэгістрацыі для вашай службы.

Няма аўтарытэтных вэб-сайт не робіць. Калі вы далучыцца да Facebook або StackOverflow, вы не атрымаеце па электроннай пошце пароль пасьля далучэньня. Гэта проста не трэба. Калі карыстальнік мае праблемы запамінання пароляў, яны могуць выкарыстоўваць абароненыя прыкладання для захоўвання пароляў, каб запомніць свае паролі.

Забяспечыць тыповы скід варыянт пароля (дзе вы па электроннай пошце ім спасылку для скіду пароля), і вы будзеце добра.

9
дададзена
З пункту гледжання карыстацкага досведу, хоць, гэта даволі груба. Вы ў асноўным кажаце «вось абракадабра разавага паролю, калі ласка, скапіюйце яго і ўвайдзіце з ім, а затым перайсці да іншага паролі», тады як спасылка -> пароль/пацвярджэнне пароль паток крыху лягчэй на карыстальніку. Ці ёсць у іх гэтая тарабаршчыну пароль або спасылку (асабліва калі імя карыстальніка з'яўляецца адрас электроннай пошты карыстальніка), гэта на самай справе не мае значэння бяспекі мудрым. Можа быць, дзе ёсць імёны карыстальнікаў, якія ня электронныя пошты ён можа дапамагчы, але дзе адрас электроннай пошты, гэтае імя карыстальніка, не будуць нічога, акрамя некалькіх дзеянняў, неабходных змяніць.
дададзена аўтар Tom Schaefer, крыніца
Калі карыстальнік забыў свой пароль і запытвае «абнавіць», звычайна па электроннай пошце ім аднаразовы пароль, толькі што яны павінны неадкладна змяніць. Вядома, хто-то можа перахапіць гэтую электронную пошту і зрабіць некаторыя пашкоджанні, перш чым іншы пароль можа быць выдадзены. Рабіць гэта на на сайце вэб-старонцы SSL можа быць дастаткова бяспечным, але нават у гэтым выпадку, калі электронная пошта дае ключ сеансу (адзінае доказ таго, хто выкарыстоўвае яго) перахапляецца, хтосьці можа выкарыстоўваць гэтую спасылку перад меркаваным карыстальнікам можа , Я не ўпэўнены, ці ёсць надзейны спосаб зрабіць гэта па сетцы, што рашучы дрэнны хлопец не мог скрасці.
дададзена аўтар Steven Eddy, крыніца

Я думаю, што калі яны не жылі пад скалой на працягу мінулага час, сярэдні карыстальнік павінен ведаць, што яны не павінны лічыць, што электронная пошта з'яўляецца бяспечнай формай зносін. Там было шмат гучных спраў у сродках масавай інфармацыі ( Snowden адкрыцьця , Heartbleed ), якія адносяцца да бяспекі ў Інтэрнэце.

Калі карыстальнік не ведае пра гэта яны не могуць чакаць пароль у электроннай пошце ў любым выпадку. Калі карыстальнік з'яўляецца ведаюць пра гэта, яны, верагодна, думаюць, што гэта крыху мудрагелісты, каб атрымаць пароль, як гэта. Я б залішняя асцярожнасць з гэтым, і пазбегнуць адпраўкі электроннай пошты пароляў.

5
дададзена

What about sending the just a part of the password, like the first and last character(s)? OMGSWAGpasswordBlazeIt420!!! could be returned as O***!

Такім чынам, вы даяце людзям намёк на іх пароль, не даючы хакер/бот занадта шмат дапамогі. Проста пераканайцеся, што вы не вяртаеце аднолькавая колькасць знакаў.

2
дададзена
Гэта вельмі добрая і цікавая ідэя. Гэта падобна на шляху сайтаў з двухфакторную аўтэнтыфікацыяй будзе сказаць: «Мы толькі што паслаў тэкставае паведамленне на свой мабільны тэлефон нумар ххххх xxxxxx34». Першыя два і апошнія два знака, як правіла, дастаткова, каб заахвоціць ўспомніць пра паролі, і не дастаткова, каб дазволіць перахопнік, каб зразумець гэта. Мне падабаецца гэта шмат.
дададзена аўтар James Hall, крыніца
З пункту гледжання UX, я думаю, што гэта сапраўды не мае значэння, якая частка пароля вяртаецца, калі гэта дапаможа вам успомніць, што гэта такое. Гэта тэарэтычна можа быць праблема бяспекі, але толькі калі вы а) выкарыстоўваць адзін і той жа пароль для ўсіх, б) усіх выяўленых сімвалы ўтрымліваюць вялікую частку ўсяго пароля і с) хтосьці мае доступ да вашай пошце. Калі вам не падабаецца карыстальнікі атрымліваць іх частковы пароль неадкладна, проста захоўваць першыя і апошнія сімвалы ў зашыфраваным або заблытаным шляху для далейшага выкарыстання. Гэта павінна знайсці баланс паміж УБ і бяспекі.
дададзена аўтар Tom, крыніца
Я магу думаць толькі адна праблема: што рабіць, калі розныя арганізацыі паказваюць розныя характары? Вы можаце мець адзін, які паказвае O ***! , іншы што OMG *** або 420 !!! альбо ўсялякія розныя варыяцыі. Тым не менш, гэта значна лепш, чым ідэя адпраўкі за ўсё пароля, хоць я б не хацеў бы сказаў, што мой пароль, таму што я толькі што ўвёў яго ў перш чым я атрымаў па электроннай пошце.
дададзена аўтар user43102, крыніца

Вэб-сайты да 2000 года, як правіла, рабілі гэты шлях

  • задаць імя карыстальніка і пароль; па электроннай пошце ня трэба
  • пароль захоўваецца ў выглядзе простага тэксту і пацверджання рэгістрацыі па электроннай пошце ўтрымлівае пароль
  • пароль можа быць адноўлены назад, адказваючы на ​​пытанне бяспекі правільна

Гэтая мода была пакінутая прыкладна з 2000 года, таму не павінны прытрымлівацца гэтай старой модзе больш.

0
дададзена
трымацца далей назапашванне: Уявіце сабе, як калі б я спачатку паставіць пароль на адрас электроннай пошты, а затым хэшавання яго ў маёй базе дадзеных.
дададзена аўтар A. Burnheimer, крыніца

Мяркуючы, што вэб-сайт мае функцыю «забыліся пароль», каб адправіць спасылку для скіду пароля, я бачу ніякіх праблем з імі не па электроннай пошце мне мой пароль, так як яны не з'яўляюцца больш бяспечнымі, то мая сістэма электроннай пошты ў любым выпадку.

Таксама прыемна ўспомніць выкарыстоўваць розныя паролі для кожнага сайта, а <�моцны> вы павінны лічыць, што паролі захоўваюцца ў выглядзе звычайнага тэксту , што б мы ні думаць пра гэта.

Аднак я палічыў за лепшае б яны мне па электроннай пошце выпадковага пароля і не прасілі мяне, каб увесці пароль пры рэгістрацыі, так што ёсць менш праблем з карыстальнікамі паўторнага выкарыстання пароляў.

0
дададзена
@PhilPerry, 99% вэб-сайтаў, якія я выкарыстоўваю будзе па электроннай пошце спасылку для скіду пароля для мяне. Мой банк знаходзіцца ў 1%!
дададзена аўтар joe, крыніца
Праўда, вы не можаце зрабіць ніякіх здагадак пра бяспеку сістэмы ID/пароль. <�Я> Спадзяюся, яны не настолькі дурны, каб захоўваць паролі ў выглядзе звычайнага тэксту, але вы ніколі не ведаеце. І гэта дрэнная ідэя, каб паўторна выкарыстоўваць паролі, так як здабыць адзін мог дазволіць дрэнны хлопец на некалькі рахункаў вашага. Emailing пастаяннага пароля для вас усё яшчэ з'яўляецца прадметам крадзяжу, нават калі шкода будзе абмежаваны адной ўліковага запісу (напрыклад, ваш банкаўскі рахунак!).
дададзена аўтар Steven Eddy, крыніца

Technically, password should never exist anywhere in open form, except at field where user enter it.

Сістэмы бяспекі ў парадку, якія маюць толькі хэш паролю які забяспечвае здольнасць сістэмы казаць пароль сапраўдным ці не.

Каб адправіць пароль для карыстальніка ў сырам выглядзе азначае, што гэты пароль будзе апрацоўвацца некалькімі сістэмамі, і кожны з іх можа potencially выставіць пароль для неаўтарызаваных сістэм і асоб.

Але з пункту гледжання юзабіліці , што часам варта дазволіць карыстальніку бачыць пароль на свае вочы. Тыповыя спосабы зрабіць так, з'яўляюцца:

  1. Дайце карыстальніку магчымасць паказаць пароль замест паказваць зоркі.

  2. Паказаць пароль карыстальніка неадкладна пасля ён увайшоў у яе. Гэты падыход карысны для 'майстар-пароляў'.

Гэта зручна, каб пазбегнуць распаўсюджаных памылак пароляў як «Caps Lock» або няправільна клавіятуры лакаль.

Там таксама асуджаецца падыход папрасіць карыстальніка паўторна ўвесці пароль, але ён проста не працуе - таму што ў большасці выпадкаў карыстальнік будзе ўводзіць пароль яшчэ раз у няправільным лакалі або CAPS, і ён не зможа ўвайсці ў сістэму з дапамогай пароля, ён меў на ўвазе ,

0
дададзена
@PhilPerry Гэта цікавая ідэя. Вы павінны выставіць соль карыстальнікаў да іх, перш чым яны былі правераныя, хоць. Зламыснік можа лёгка атрымаць прыстанак солі мэтавага карыстальніка, то яны маглі б выканаць атаку па слоўніку.
дададзена аўтар Joel, крыніца
SMF (Simple Machines Forum) аддае перавагу не выкарыстоўваць (значна менш патрабуецца) SSL для ўваходу. У Javascript яны хэш толькі што ўведзены пароль (з соллю ... першыя некалькі літар ID, IIRC) і адправіць хэш ў незашыфраваным выглядзе. Я не ведаю, колькі яны атрымліваюць з гэтым, за блакаванне вельмі выпадковых злодзеяў. Можа быць, яны робяць нешта яшчэ таксама, так што проста нагнятанне ID і скрадзены хэш ў струмень не працуе для злодзея.
дададзена аўтар Steven Eddy, крыніца
Як наконт пароляў <�я> хэшируюсь у JavaScript, і ніколі не перадаецца па сетцы ў выглядзе звычайнага тэксту, нават калі сувязь SSL? Я бачыў прыкладання зрабіць гэта, але я не ўпэўнены, што дадае штосьці па перадачы звычайнага тэкставага пароля на сервер праз SSL. Калі спасылка не SSL, гэта, верагодна, нешта паляпшэнне над адпраўкай звычайнага тэкставага пароля хэшавання на сэрвэры. Каментары?
дададзена аўтар Steven Eddy, крыніца

Мае ідэі з гэтай нагоды, як вэб-распрацоўшчык і дызайнер:

  1. Для бяспекі неабходна зашыфраваць пароль, але вы ўсё роўна можаце адправіць оон зашыфраваны адзін да карыстача, калі вам сапраўды трэба. Вы можаце зрабіць гэта шляхам атрымання электроннай пошты з простым паролем і адправіць яго прама перад шыфраваннем і захоўваць яго.

  2. Гэта не лепшая ідэя, каб адправіць просты карыстацкі пароль па электроннай пошце, як гэта можа быць пастаўлена пад пагрозу, аднак вы можаце прадаставіць яго ў якасці опцыі для карыстальніка ў выглядзе галачкі, можа палепшыць карыстацкі досвед. Вы маглі б таксама нагадаць карыстачу напісаць свой пароль ўніз, як яны друкуюць яго, каб не страціць яго.

0
дададзена
Гэта не будзе працаваць на базавай бяспекі, таму што, як вэб-дызайнер (або адміністратара сервера), вы павінны мець <�я> ня спосаб для аднаўлення пароля карыстальніка. Калі вы можаце расшыфраваць яго, то так можа хакер, які парушае вашу сетку і знаходзіць ключ дэшыфраванні ў вашым кодзе. Як апісана ў незлічоных месцах у Інтэрнэце, вы павінны выкарыстоўваць салёны хэш для захоўвання прадстаўлення пароля. Як якое прапануе карыстачу пісаць пароль ўніз, гэта жудасна парады і як вэб-дызайнер, вы павінны ведаць лепш.
дададзена аўтар Cello9, крыніца