Пароли пользователей на почту админку или через СМС сервис

123 4
Rus But
На сайте с 30.05.2006
Offline
111
2388

Добрый день, коллеги.

Хотел бы поднять вопрос по безопасности данных пользователей.

Имеет CMS столкнулся с тем что мне как администратору, так просто приходят пароли пользователей при попытке восстановить доступ к аккаунту. Написал в ТП - проблему устранили, из шаблона письма удалили переменную пароля.

Вроде... и так сойдет, но вернуть все обратно не сложно.

Далее решил стать лояльнее к клиентам и подключил сервис смс информирования о статусах заказов, поработав неделю заметил что при регистрации на сайте, данные (логин/пароль) идут через СМС сервис. Как подобное расценивать?

ТП CMS считает это нормой, у меня паранойя?

Разработка сайтов на Modx Evo/Revo ( http://citypeople.ru/ ) | SEoDOR промокод 15% ( https://vk.cc/aw78s4 ) : L43G7
Апокалипсис
На сайте с 02.11.2008
Offline
391
#1

Любые автоматически сгенеренные пароли отправленные на почту - зло.

Пользователь должен сам придумать новый пароль, а для этого ему высылается временная ссылка.

Чтобы таких вопросов не возникало, посмотрите как работает любой крупный сервис.

Записки нищего (http://zapiskinishego.ru) - мой личный блог Услуги php программиста. Очень нужна любая работа. Не покупают? Поведенческий аудит интернет-магазина за 5000 руб. (/ru/forum/990312)
Rus But
На сайте с 30.05.2006
Offline
111
#2
Апокалипсис:
Любые автоматически сгенеренные пароли отправленные на почту - зло.
Пользователь должен сам придумать новый пароль, а для этого ему высылается временная ссылка.

Чтобы таких вопросов не возникало, посмотрите как работает любой крупный сервис.

Так оно и есть, это знающие юзеры используют разные пароли для доверенных и публичных сервисов. Мое мнение подобное решение это ЗЛО. Поэтому и вышел на серч чтобы услышать альтернативное мнение.

LEOnidUKG
На сайте с 25.11.2006
Online
1546
#3
, у меня паранойя?

Пить таблетки от неё.

что при регистрации на сайте, данные (логин/пароль) идут через СМС сервис. Как подобное расценивать?

Вы мысль то свою развивайте до конца. Ну пришли, дальше что?

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
edogs software
На сайте с 15.12.2005
Offline
714
#4

Посылка автогенереных паролей не создает проблем как таковых.

Если у злого хакера есть доступ к почте, то он по ссылке точно так же установит пароль. Если же доступа к почте нет, то и пароль он не увидит.

Не надо выдумывать проблемы там где их нет.

Разработка крупных и средних проектов. Можно с криптой. Разумные цены. Хорошее качество. Адекватный подход.
SV
На сайте с 03.11.2008
Offline
1348
#5
edogs:
Посылка автогенереных паролей не создает проблем как таковых.

Не создаёт для тех, кто не понимает в безопасности.

Пароли не должны даже храниться в открытом виде, не то что "передаваться".

Ни одна уважающая себя система так не должна поступать, опираясь на верования в неуловимости Джо.

---------- Добавлено 19.05.2019 в 21:58 ----------

edogs:
Если у злого хакера есть доступ к почте, то он по ссылке точно так же установит пароль.

Не также.

Про время жизни ссылки для восстановления пароля (ограниченое несколькими [десятком] минутами) надо рассказывать ?

А про сверку соответствия IP/UA/етс?

А про разные контрольные вопросы?

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
Z0
На сайте с 03.09.2009
Offline
730
#6
SeVlad:

Пароли не должны даже храниться в открытом виде, не то что "передаваться".

Я хотел про соль спросить, она тоже небезопасна уже? В соседних темах ты писал про безопасность, но я смутно понял, я вообще отстаю от этого :) Все больше задания раздаю...

P.S. Тему потерял, с пьяну, простите все, если что :)

SV
На сайте с 03.11.2008
Offline
1348
#7
ziliboba0213:
Я хотел про соль спросить, она тоже небезопасна уже?

"Соль" и "открытый вид" взаимоисключающие понятия :)

"Соль", если по-бытовому - своего рода шифрация.

Z0
На сайте с 03.09.2009
Offline
730
#8
SeVlad:
"Соль" и "открытый вид" взаимоисключающие понятия :)
"Соль", если по-бытовому - своего рода шифрация.

Не, ты писал, что md5 и т.п. уже не очень... Я и хотел уточнить, с солью норм или тоже уже не катит?

P.S. Прости, я выпил немного 🤪 Давно не беседовал тут 🤪

SV
На сайте с 03.11.2008
Offline
1348
#9
ziliboba0213:
Не, ты писал, что md5 и т.п. уже не очень... Я и хотел уточнить, с солью норм или тоже уже не катит?

Я писал, что "md5 и т.п. уже не очень"? Ты что-то путаешь.

Я мог писать, что они без соли менее устойчивы к взлому или что могут быть коллизии. И то при определённых условиях (напр хеши всех известных паролей так же известны).

Ида без соли (на сегодня) хранят пароли только ламеры. Но их к сож немало

Z0
На сайте с 03.09.2009
Offline
730
#10
SeVlad:
Я писал, что "md5 и т.п. уже не очень"? Ты что-то путаешь.
Я мог писать, что они без соли менее устойчивы к взлому или что могут быть коллизии. И то при определённых условиях (напр хеши всех известных паролей так же известны).

Ида без соли (на сегодня) хранят пароли только ламеры. Но их к сож немало

Я про эту тему:

/ru/forum/1014946

Там на первом месте md5 :p

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий