Hasło wysyłane zwykłym tekstem w mailu

truther

Na tej stronie bardzo dużo się mówi o bezpieczeństwie, traktuje o inwigilacjach, podsłuchach, etc. jest nawet po httpsie, co jest niestety rzadkością. Ale co mnie strasznie uderzyło po oczach to mail, który otrzymałem po rejestracji. Cytuję z pamięci, co tam było napisane, ale było napisane, aby "nie usuwać tej wiadomości", bo są tam takie dane jak użytkownik i hasło i że jak zapomnę hasła, to to będzie jedyna możliwość, aby je odzyskać. W przeciwnym wypadku należy hasło zresetować. Wszystko ładnie pięknie, ale tam jest moje hasło wysłane jako plain text, takie wiadomości kasuję z automatu, co by się w nich nie znajdowało.
Mnie przeraża, jak widzę hasło w postaci tekstowej na skrzynce. Zawsze mi żyłka wyskakuje, jak dostaję takie wiadomości. Nie wiem, czy ktokolwiek po zapomnieniu hasła szuka takich informacji na swojej skrzynce, prędzej (nawet z lenistwa) po prostu hasło zresetuje. Ja już drugi raz rejestrować się nie będę, ale sądzę, że warto byłoby w przyszłości nie wysyłać po rejestracji hasła w mailu.
_________________
Insanity is doing the same thing over and over again and expecting different results.

Bimi

piszesz tak jakby nie było opcji zmiany hasła, po zarejestrowaniu się Smile

phpbb standardowo wysyła hasło mailem, w potwierdzeniu rejestracji.
że "zwykłym tekstem" - no raczej, bo jakim niby innym tekstem można wysłać hasło? Smile

dla jednych to problem, dla innych udogodnienie - nie mi decydować jak jest "lepiej", więc nie będę tego zmieniał.
ja w każdym razie mam już od dawna zupełnie inne hasło, niż to co mi przyszło mailem po rejestracji.
więc jeśli masz taki problem to nie kumam dlaczego go sobie sam nie rozwiążesz, zamiast nam tu płakać, jaki to straszny przejeb, że ci pierwsze hasło przyszło mailem.

truther

Jest opcja zmiany hasła i jestem tego w pełni świadomy. Ale to nie to jest problemem, też nie jest problemem, że hasło jest wysyłane zwykłem tekstem. Problemem jest to, że hasło jest w ogóle wysyłane na maila.
To rozwiązanie jest niebezpieczne. Co z tego, że usunę maila, ta wiadomość i tak jest nadal przechowywana na serwerze pocztowym. Wyobraź sobie, że ktoś ma dostęp do mojego kąta... i dostaje za frytki moje hasło... może tu je zmienię, może nie, ale hasło ma i jak jest złośliwy/ciekawski/złośliwy/cokolwiek, to sprawdzi to hasło na innych serwisach.
Mówisz, że można zmienić hasło po otrzymaniu wiadomości, jest to "jakieś" rozwiązanie problemu, ale chyba lepiej jest zapobiegać problemom, niż "bohatersko" się z nimi rozprawiać.
_________________
Insanity is doing the same thing over and over again and expecting different results.

Bimi

Ale zrozum człowieku, że jeśli ktoś może czytać twoje maile, to nie potrzebuje znać hasła gdyż zawsze może skorzystać z opcji Zapomniałem hasła i ustawić sobie na twoim koncie takie hasło, jakie tylko zapragnie.

No chyba że się wstydzisz swojego hasła - to wtedy jeszcze mogę zrozumieć twój problem Smile

Bimi

niech zgadnę: żona ci sprawdza pocztę i właśnie się dowiedziała, że wybrałeś sobie na hasło imię koleżanki z pracy?
no to faktycznie masz problem... Smile

Bimi

Jak ktoś ma paranoje na punkcie bezpieczeństwa swojej skrzynki pocztowej, jedyne co może zrobić to natychmiast po rejestracji zmienić hasło i usunąć adres email ze swojego profilu. Z tym że wtedy jeśli zapomni hasła to już go nie odzyska.

Natomiast o takich detalach jak np. to że nigdy nie używa się tego samego hasła na różnych stronach - to mam nadzieję, że nie muszę nawet wspominać komuś, kto ma paranoję...? Smile

truther

no ba... już do niej zadzwoniła Razz

Użyję mojej przerośniętej wyobraźni Very Happy

Bo jest scenariusz, w którym można mieć dostęp do cudzej poczty nie mając aktualnego hasła. Załóżmy, że poznałeś czyjeś hasło, ustawiłeś sobie przekierowanie całej poczty i ta osoba zmienia hasło. Niby bezpośredniego dostępu nie masz, ale odebrane wiadomości masz jak najbardziej do wglądu. Wiem, że to paranoiczne podejście (imo zdrowa paranoia jest pożądaną cechą). Inna sprawa, to że poznając jedno hasło można próbować odgadywać inne hasła danej osoby. Hasło też ma jakiś "charakter", niektórzy mogą ustalać tam imiona bliskich, marki samochodów, swoje imie + jakiś prefix/suffix w postaci roku urodzenia, albo jakieś stałe hasło + prefix/suffix z nazwą serwisu... hasła niektórych ludzi mogą być po prostu szablonowe (nie mówię, że ja podlegam pod któryś z przypadków... a właściwie, to podpowiem, że nie Wink

).
Jeśli nie ma możliwości zmienienia tego zachowania to trudno, nie ma dyskusji. Tak czy inaczej wysyłanie haseł na maila nie jest w branży IT uważane za dobrą praktykę Wink

_________________
Insanity is doing the same thing over and over again and expecting different results.

Bimi

Możliwość to jest zmienienia wszystkiego, ale jak mówię: nie ma konsensusu co do tego, iż akurat taka zmiana była by na lepsze, a nie na gorsze, bo wielu ludzi korzysta później z tego wysłanego hasła, gdy je zapomni.

Gdy każdy kto ma dostęp do twojej skrzynki może zresetować hasło, niewysyłanie hasła na ową skrzynkę w żaden sposób nie poprawia bezpieczeństwa forumowego konta - jeśli ta cała "branża IT " nie kuma tak podstawowych kwestii, to niech się jebie, albo chociaż douczy, że paranoja i profesjonalizm to antonimy.

truther

Zawsze można wyszukać w dowolnej wyszukiwarce frazy typu "sending password in email", przejrzeć (nawet pobieżnie) najbardziej relewantne wyniki i wszelkie wątpliwości odnośnie słuszności (czyt. niesłuszności) wysyłania hasła emailem powinny zniknąć. Przy tej okazji natknąłem się na ciekawą stronkę Plain Text Offenders Wink

.
_________________
Insanity is doing the same thing over and over again and expecting different results.

Bimi

truther napisał:

Zawsze można wyszukać w dowolnej wyszukiwarce frazy typu "sending password in email", przejrzeć (nawet pobieżnie) najbardziej relewantne wyniki i wszelkie wątpliwości odnośnie słuszności (czyt. niesłuszności) wysyłania hasła emailem powinny zniknąć. Przy tej okazji natknąłem się na ciekawą stronkę Plain Text Offenders Wink

.

Wiesz, z tym że niektórzy ludzie (np. ja) kierują się w swoim życiu raczej rozumem i zdrowym rozsądkiem, niż najbardziej relewantnymi wynikami dowolnej wyszukiwarki... Smile

Bimi

eee, sorry, dopiero zaczaiłem z tym dzwonieniem.
wygrałeś sobie jako hasło do forum numer tel. do swojej dziewczyny - i żona go do razu sprawdziła?
uuups...!

eee, to przepraszam, stary!
w takim razie dodam ostrzeżenie w formularzu rejestracyjnym, że hasło, które się wybiera zostanie wysłane mailem...
coby potem nie było, że rozbijam szczęśliwe małżeństwa Smile

truther

Może to zboczenie zawodowe, w pracy taki numer by mi nie przeszedł Very Happy

Ale z tym ostrzeżeniem na formularzu to naprawdę dobry pomysł Very Happy

Gdybym to wiedział, to przy rejestracji bym podał inne hasło Razz

(co prawda już zmienione, ale co się stało... ;p).
_________________
Insanity is doing the same thing over and over again and expecting different results.

Bimi

W każdym razie sorry ze nie wiedziales, ale to nie moja wina.
A pierwsze hasla dalej przychodzić będą emailem Smile