Пароли пользователей на почту админку или через СМС сервис

Напротив, но для понимания этого надо разбираться как это все работает, а не полагаться на когда-то зазубренные статьи.

То что он посылается в письме, не значит что он хранится в открытом виде.

Равно как и создавать дымовую завесу.

Так же.

Про время на вход по присланному паролю (ограниченое несколькими [десятком] минутами) надо рассказывать?

А про сверку соответствия IP/UA/етс при входе по этому паролю в течении того времени?

А про то что контрольные вопросы можно спросить при первом входе по этому паролю?

Давайте уже без этих двойных стандартов, все это точно так же реализуется и для пароля, ключевое слово - так же.

Основное отличие в том, что автосгенеренный пароль с хорошей вероятностью окажется достаточной сложности и не будет совпадать с паролями других сервисов. А вот что там юзер напридумывает....

Я эту же ссылку дал :)

А там не я говорил что"md5 и т.п. уже не очень" и вообще это смотря в каком контексте рассматривать.

ЗЫ. там на первом месте Base64 :) Вот это реально лажа.

MD5 и SHA-1 вполне могут быть норм если используются длинные пароли + доп данные авторизации (напр двухфакторка (но только не через СМС) или хотя бы уникальный не палящийся логин).

---------- Добавлено 19.05.2019 в 22:48 ----------

На бис: "Пароли не должны даже храниться в открытом виде, не то что "передаваться".

Что-что?

Нда, печалько..

У меня не хватит сил доказывать сложность запоминания юзером генерёного пароля (и как следствие ему придётся его где-то сохранять снижая таким образом безопасность), но именно юзер САМ должен вводить пароль. Известный только ему одному, а не где-то ещё хранившийся.

Я один не понял, о какой CMS "с ТП" идет речь? :)

Мудро говорите, но более не понятно 🤪

Хранить в открытом виде никто тут не предлагал. Вам лишь бы на бис выступить, по фиг на какую тему?

Что-то уровня выше чем "пароли не должны хранится в открытом виде" уже слишком сложно?

Юзер запоминает пароли только в одном случае - если они одинаковы/схожи для многих сервисов. Но мы даже не будем пытаться объяснить Вам чем это опасно.

Не-а. Автогенерация уникальных паролей нужной сложности адекватный вариант.

Пароли в открытом виде хранить никто тут и не предлагал. Очередное выступление на бис, да?

Хранить нельзя, а передать можно? ОМГ.. Трава забористая, или умный человек опять передал акк тупому?

Попробуйте включить свой коллективный разум и понять что "передавать" это прежде всего есть "хранить". Но в наиболее небезопасном месте(ах).

Во первых - это проблемы юзера (и не так страшны, как малюют). А сервис не должен диктовать свои правила, если это не грозит безопасности сервиса.

Во вторых - это не всегда так: /ru/forum/comment/11439770

---------- Добавлено 19.05.2019 в 23:12 ----------

Автогенерация уникальных паролей нужной сложности без возможности его смены (с отправкой его на почту/СМС/рупором) - НЕадекватный вариант.

У Вас шаблон диалога так и не поменялся - когда Вам нечем аргументировать по сути - Вы начинаете хамить собеседнику, что бы он или слился с топика или начал хамить в ответ и Вы бы его забанили. Неужели за столько лет не придумали ничего пооригинальнее?

Если Вы хотите пословоблудить, то не хранить в открытом виде вообще невозможно, ведь с момента когда юзер передает пароль на сервер и до момента его обработки он хранится в открытом виде. Ах ах ах, ужас, все хранят пароли в открытом виде какое-то время (ну кроме воблы, которая шифрует мд5 перед передачей 😂 ).

Если же Вы постараетесь разобраться в вопросе, то поймете, что никто не мешает отправить пароль в смс, а сам пароль сохранить не в открытом виде.

Правило "сходи сначала по ссылке перед тем как выставить новый пароль" это именно диктат своих правил, которые не грозят безопасности сервера.

Еще раз - словоблудие словоблудием, но от Вас так и нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля.

Никак не спасает от одинаковых паролей на всех сервисах.

Это такая же необразованность как и по теме вопроса.

Это как раз ты словоблудишь и не понимаешь очевидного. :(

Если совсем нет фантазии (чтобы добавить в него, напр. домен ресурса), то конечно не спасает.

Но это не так страшно, как передача пароля в открытом виде, принудительная генерация или принудительная же смена со временем.

И снова - вместо ответа по делу, переход на личности и хамство. ЧТД.

Много слов, но до сих от Вас так и нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля. Который мы уже дважды просили до этого. Но Вам интереснее выступать на бис с банальными очевидностями не имеющими отношения к делу и хамить собеседникам. Жаль.

Враньё. Не было никакого "дважды". До этого ни разу не было. Но как я вижу было добавлено после моего ответа. Манипулятор, фигов.

Рассказывать очевидное не понимающему про хранение-передачу? Дануна..

Впрочем, вот один, не связанный с технической составляющей "сценарий": пароль в открытом виде может УВИДЕТЬ (из почты/телефона) и ИСПОЛЬЗОВАТЬ любое несанкционированное лицо.

И пож. не надо рассказывать про автогенерацию и сложность - снимки экрана, случайное открытие в неподходящем месте/время и фотографическую память [ковбоя ДЖО] никто не отменял. От ссылки же, даже если она (вдруг!) будет полностью отображаться и её запомнить, вреда не будет.

Для альтернативно одарённых особо подчеркиваю: тут речь не о смене пароля, а об его использовании.

---------- Добавлено 20.05.2019 в 00:10 ----------

И кстати это тоже враньё.

Я два раза писал, что принудиловка - есть зло. Она заставляет юзера где-то хранить пароли. А это снижает безопасность. Фантазии насчёт "общий пароль для всех" я слышал и комментировал.