- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Про время жизни ссылки для восстановления пароля (ограниченое несколькими [десятком] минутами) надо рассказывать ?
А вас не смущает, что в данном сценарии у хакера уже есть доступ к почте и он может просто запросить восстановления пароля?
Ну и всегда можно отправить вместе с паролем ссылку на его изменение, тут главное не отправлять пароль на почту заданный самим пользователем, потому что получив доступ к почте можно прогнать почту + пароль по всем популярным сервисам.
В остальном в кибербезопасности каких то канонов вида не отправляйте 12 значный бессмысленный в разном регистре с цифрами и символами пароль на почту пользователю я не видел, не слышал и не встречал.
А вас не смущает, что в данном сценарии у хакера уже есть доступ к почте и он может просто запросить восстановления пароля?
Во-первых "запросто" может быть вовсе и "не запросто" (сверка IP напр. Или доп. контрольный вопрос. Или ещё какое-то доп. подтверждение).
Во вторых "сбросить" и "узнать" - совершено разные вещи. Прочуствуете разницу(с).
В третьих "доступ хакера к почте" - не единственная (и может даже не главная) причина не передавать пароль в открытом виде.
тут главное не отправлять пароль на почту заданный самим пользователем,
+ 1.
В остальном в кибербезопасности каких то канонов вида не отправляйте 12 значный бессмысленный в разном регистре с цифрами и символами пароль на почту пользователю я не видел, не слышал и не встречал.
Я пару раз встречал дебильные сервисы (даже хостеров), требующие обязательные цифру + разный регистр + не менее 8 символов. Особая изюминка при этом - запрет использования некоторых символов :)
---------- Добавлено 20.05.2019 в 10:00 ----------
А вот, кстати и описаны некоторые признаки школоты
Разбавлю ваши споры простым примером.
1. Есть магазин, при регистрации в котором пользователь получается СМС со своим логином и паролем.
2. Также при попытке восстановить пароль, суперадмин видит письмо с новым паролем.
Отсюда и возникает вопрос, насколько это неправильно передавать открытые пароли в СМС сервис, где они уже будут хранится без шифрования в виде логов отправляемых сообщений. И подобное хранение данных ставит под вопрос честность СМС сервиса и работающего там персонала. Но весь корень зла идет из открытой отправки при регистрации на сайте.
Отсюда и возникает вопрос, насколько это неправильно передавать открытые пароли
на 100.
И пофик как/через что
Мне кажется на каком-то этапе ваших рассуждений пошла путаница, ниже объясню свой взгляд на вещи.
Все достаточно просто: отправка любых паролей плейн текстом - это зло. В первую очередь это зло, когда пользователь восстанавливает пароль и ему приходит его текущий пароль. О чем это говорит? О том, что пароль хранится в базе в текстовом виде (а не хэшем, не говоря уже о соли). В интернетах есть даже сайт, т.н. "доска позора" таких компаний: https://plaintextoffenders.com/
Другой вопрос - временный пароль, который генерируется при восстановлении. На мой взгляд, лучше одноразовая ссылка с возможностью пользователю установить свой пароль. И сброс пароля только через двухфакторную аутентификацию. Но тогда встает вопрос входа через двухфакторку тоже :) Двухфакторка через смс - это не настоящая двухфакторка, куда безопаснее реализовывать через oAuth и аналоги. Потому что сим-карты сейчас воруются и не сильно сложнее емэйлов.
По вопросу ТС, ответ такой: пользователь не должен получать пароль ни по смс, ни по емэйлу. Он должен его устанавливать сам в процессе регистрации, либо предложите аутентифицироваться через приложение с социалками. Если речь о восстановлении пароля: то мой совет через одноразовые ссылки и двухфакторку, на крайняк можно через рассылку временного пароля. Если вы рассылаете текущий пароль (и храните его в базе в открытом виде): рано или поздно это закончиться дампом пользователей где-то в интернетах.
И сброс пароля только через двухфакторную аутентификацию.
Вот тут лучше не "только", а "желательно" и "опционально". Всё остальное категорически поддерживаю.
Прошу прощения - но мне кажется что надо было сначала спросить ТС - к чему доступ то организован ? Что за сайт / сервис то ?
Просто если это сайт для выкладывани фотографий котиков то пусть пароль и логин открытым текстом по email.
Если же сайт для общения верхушки Золотого миллиарда с выкладыванием планов по порабощению видимой части Глалактики то доступ только по IP с заранее поднятых VPS на который заходим по RDP проброшенным внутри тоннеля ssh с авторизацией по ключу.
Впрочем, вот один, не связанный с технической составляющей "сценарий": пароль в открытом виде может УВИДЕТЬ (из почты/телефона) и ИСПОЛЬЗОВАТЬ любое несанкционированное лицо.
Забыли про Вами же поначалу упомянутую проверку по IP/UA и т.д.? Удобная у Вас память.
зло, когда пользователь восстанавливает пароль и ему приходит его текущий пароль. О чем это говорит? О том, что пароль хранится в базе в текстовом виде
Совсем не обязательно вообще-то.
И сброс пароля только через двухфакторную аутентификацию. Но тогда встает вопрос входа через двухфакторку тоже :)
Но если Вы сбрасываете пароль через двухфакторку и входите через нее же, то нет никакой проблемы присылать пароль сразу.
Если вы рассылаете текущий пароль (и храните его в базе в открытом виде): рано или поздно это закончиться дампом пользователей где-то в интернетах.
Хранение и распространение разные статьи 😂
Есть вариант шифровать (а не хэшировать) пароль генерируя ключ на основе пары секретный вопрос/ответ (или другие данные), тогда вполне реально не хранить пароли в открытом виде, но в то же время предоставить возможность восстановить именно оригинальный пароль. Но как правило такие сложности это никому на фиг не нужный гиморой.
Забыли про Вами же поначалу упомянутую проверку по IP/UA и т.д.?
Ну и как эта проверка сработает при входе с другого устройства? Если у админа динамический IP и он может заходить с разных устройств? 🍿
Другое дело, что эта проверка мало где используется "из коробки".
Ну и как эта проверка сработает при входе с другого устройства?
Так же как и при получении ссылки:) Ключевое слово "так же". Т.е. если делать эти проверки, то они будут мешать (или помогать) везде.
Если у админа динамический IP и он может заходить с разных устройств? 🍿
Пущай все и авторизирует. В принципе после авторизации 2-3 устройств вопрос для обычных юзеров снимается, поэтому у нас заказчики достаточно часто соглашаются на такой вариант. Опять же, можно позволить юзеру настраивать это все - как минимум ИП проверку позволить отключить или сделать проверку хотя бы по региону + пробивать на принадлежность к фрипрокси и тору. Варианты-то решения есть, вопрос просто в том кто как заморачивается.
И баланс в целом сводится даже не к "безопасности/сложности реализации", сколько к "безопасности/удобству для юзера". Кому нужен офигенно безопасный сайт на который никто не ходит - пусть отключит его от интернетов и положит в сейф:)
Другое дело, что эта проверка мало где используется "из коробки".
Да речь на самом деле лишь о степени паранойи и ее реализации.
Если уж совсем параноить, то вход на сайт должен быть только по цифровой подписи. Восстановление которой в случае утери происходит у нотариуса при личном присутствии и со справкой о дееспособности в зубах.
Поэтому когда кто-то утверждает что автосгенеренный пароль зло, но при этом видит в присылании ссылки ответ на все вопросы безопасности - это напрягает даже больше, чем когда пароли хранятся в открытом виде. Потому что дымовая завеса от этой псевдобезопасности маскирует реальные проблемы.