Пароли пользователей на почту админку или через СМС сервис

А вас не смущает, что в данном сценарии у хакера уже есть доступ к почте и он может просто запросить восстановления пароля?

Ну и всегда можно отправить вместе с паролем ссылку на его изменение, тут главное не отправлять пароль на почту заданный самим пользователем, потому что получив доступ к почте можно прогнать почту + пароль по всем популярным сервисам.

В остальном в кибербезопасности каких то канонов вида не отправляйте 12 значный бессмысленный в разном регистре с цифрами и символами пароль на почту пользователю я не видел, не слышал и не встречал.

Во-первых "запросто" может быть вовсе и "не запросто" (сверка IP напр. Или доп. контрольный вопрос. Или ещё какое-то доп. подтверждение).

Во вторых "сбросить" и "узнать" - совершено разные вещи. Прочуствуете разницу(с).

В третьих "доступ хакера к почте" - не единственная (и может даже не главная) причина не передавать пароль в открытом виде.

+ 1.

Я пару раз встречал дебильные сервисы (даже хостеров), требующие обязательные цифру + разный регистр + не менее 8 символов. Особая изюминка при этом - запрет использования некоторых символов :)

---------- Добавлено 20.05.2019 в 10:00 ----------

А вот, кстати и описаны некоторые признаки школоты

Разбавлю ваши споры простым примером.

1. Есть магазин, при регистрации в котором пользователь получается СМС со своим логином и паролем.

2. Также при попытке восстановить пароль, суперадмин видит письмо с новым паролем.

Отсюда и возникает вопрос, насколько это неправильно передавать открытые пароли в СМС сервис, где они уже будут хранится без шифрования в виде логов отправляемых сообщений. И подобное хранение данных ставит под вопрос честность СМС сервиса и работающего там персонала. Но весь корень зла идет из открытой отправки при регистрации на сайте.

на 100.

И пофик как/через что

Мне кажется на каком-то этапе ваших рассуждений пошла путаница, ниже объясню свой взгляд на вещи.

Все достаточно просто: отправка любых паролей плейн текстом - это зло. В первую очередь это зло, когда пользователь восстанавливает пароль и ему приходит его текущий пароль. О чем это говорит? О том, что пароль хранится в базе в текстовом виде (а не хэшем, не говоря уже о соли). В интернетах есть даже сайт, т.н. "доска позора" таких компаний: https://plaintextoffenders.com/

Другой вопрос - временный пароль, который генерируется при восстановлении. На мой взгляд, лучше одноразовая ссылка с возможностью пользователю установить свой пароль. И сброс пароля только через двухфакторную аутентификацию. Но тогда встает вопрос входа через двухфакторку тоже :) Двухфакторка через смс - это не настоящая двухфакторка, куда безопаснее реализовывать через oAuth и аналоги. Потому что сим-карты сейчас воруются и не сильно сложнее емэйлов.

По вопросу ТС, ответ такой: пользователь не должен получать пароль ни по смс, ни по емэйлу. Он должен его устанавливать сам в процессе регистрации, либо предложите аутентифицироваться через приложение с социалками. Если речь о восстановлении пароля: то мой совет через одноразовые ссылки и двухфакторку, на крайняк можно через рассылку временного пароля. Если вы рассылаете текущий пароль (и храните его в базе в открытом виде): рано или поздно это закончиться дампом пользователей где-то в интернетах.

Вот тут лучше не "только", а "желательно" и "опционально". Всё остальное категорически поддерживаю.

Прошу прощения - но мне кажется что надо было сначала спросить ТС - к чему доступ то организован ? Что за сайт / сервис то ?

Просто если это сайт для выкладывани фотографий котиков то пусть пароль и логин открытым текстом по email.

Если же сайт для общения верхушки Золотого миллиарда с выкладыванием планов по порабощению видимой части Глалактики то доступ только по IP с заранее поднятых VPS на который заходим по RDP проброшенным внутри тоннеля ssh с авторизацией по ключу.

Забыли про Вами же поначалу упомянутую проверку по IP/UA и т.д.? Удобная у Вас память.

Совсем не обязательно вообще-то.

Но если Вы сбрасываете пароль через двухфакторку и входите через нее же, то нет никакой проблемы присылать пароль сразу.

Хранение и распространение разные статьи 😂

Есть вариант шифровать (а не хэшировать) пароль генерируя ключ на основе пары секретный вопрос/ответ (или другие данные), тогда вполне реально не хранить пароли в открытом виде, но в то же время предоставить возможность восстановить именно оригинальный пароль. Но как правило такие сложности это никому на фиг не нужный гиморой.

Ну и как эта проверка сработает при входе с другого устройства? Если у админа динамический IP и он может заходить с разных устройств? 🍿

Другое дело, что эта проверка мало где используется "из коробки".

Так же как и при получении ссылки:) Ключевое слово "так же". Т.е. если делать эти проверки, то они будут мешать (или помогать) везде.

Пущай все и авторизирует. В принципе после авторизации 2-3 устройств вопрос для обычных юзеров снимается, поэтому у нас заказчики достаточно часто соглашаются на такой вариант. Опять же, можно позволить юзеру настраивать это все - как минимум ИП проверку позволить отключить или сделать проверку хотя бы по региону + пробивать на принадлежность к фрипрокси и тору. Варианты-то решения есть, вопрос просто в том кто как заморачивается.

И баланс в целом сводится даже не к "безопасности/сложности реализации", сколько к "безопасности/удобству для юзера". Кому нужен офигенно безопасный сайт на который никто не ходит - пусть отключит его от интернетов и положит в сейф:)

Да речь на самом деле лишь о степени паранойи и ее реализации.

Если уж совсем параноить, то вход на сайт должен быть только по цифровой подписи. Восстановление которой в случае утери происходит у нотариуса при личном присутствии и со справкой о дееспособности в зубах.

Поэтому когда кто-то утверждает что автосгенеренный пароль зло, но при этом видит в присылании ссылки ответ на все вопросы безопасности - это напрягает даже больше, чем когда пароли хранятся в открытом виде. Потому что дымовая завеса от этой псевдобезопасности маскирует реальные проблемы.