Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 19.05.2019, 13:08   #1
Аспирант
 
Аватар для cocacola
 
Регистрация: 30.05.2006
Адрес: Пермь
Сообщений: 157
Репутация: -3662
Отправить сообщение для cocacola с помощью ICQ
Социальные сети

По умолчанию Пароли пользователей на почту админку или через СМС сервис

Добрый день, коллеги.
Хотел бы поднять вопрос по безопасности данных пользователей.

Имеет CMS столкнулся с тем что мне как администратору, так просто приходят пароли пользователей при попытке восстановить доступ к аккаунту. Написал в ТП - проблему устранили, из шаблона письма удалили переменную пароля.

Вроде... и так сойдет, но вернуть все обратно не сложно.

Далее решил стать лояльнее к клиентам и подключил сервис смс информирования о статусах заказов, поработав неделю заметил что при регистрации на сайте, данные (логин/пароль) идут через СМС сервис. Как подобное расценивать?

ТП CMS считает это нормой, у меня паранойя?
cocacola вне форума   Ответить с цитированием

Реклама
Старый 19.05.2019, 13:28   #2
Апокалипсис
Banned
 
Регистрация: 02.11.2008
Сообщений: 5,245
Репутация: 360017

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Любые автоматически сгенеренные пароли отправленные на почту - зло.
Пользователь должен сам придумать новый пароль, а для этого ему высылается временная ссылка.

Чтобы таких вопросов не возникало, посмотрите как работает любой крупный сервис.
Апокалипсис вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 19.05.2019, 14:15   #3
cocacola
Аспирант
 
Аватар для cocacola
 
Регистрация: 30.05.2006
Адрес: Пермь
Сообщений: 157
Репутация: -3662
Отправить сообщение для cocacola с помощью ICQ
Социальные сети

ТопикСтартер Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от Апокалипсис Посмотреть сообщение
Любые автоматически сгенеренные пароли отправленные на почту - зло.
Пользователь должен сам придумать новый пароль, а для этого ему высылается временная ссылка.

Чтобы таких вопросов не возникало, посмотрите как работает любой крупный сервис.
Так оно и есть, это знающие юзеры используют разные пароли для доверенных и публичных сервисов. Мое мнение подобное решение это ЗЛО. Поэтому и вышел на серч чтобы услышать альтернативное мнение.
cocacola вне форума   Ответить с цитированием
Старый 19.05.2019, 14:21   #4
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 22,593
Репутация: 1970265
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
, у меня паранойя?
Пить таблетки от неё.

Цитата:
что при регистрации на сайте, данные (логин/пароль) идут через СМС сервис. Как подобное расценивать?
Вы мысль то свою развивайте до конца. Ну пришли, дальше что?
LEOnidUKG вне форума   Ответить с цитированием
Старый 19.05.2019, 21:44   #5
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,909
Репутация: 90725
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Посылка автогенереных паролей не создает проблем как таковых.
Если у злого хакера есть доступ к почте, то он по ссылке точно так же установит пароль. Если же доступа к почте нет, то и пароль он не увидит.
Не надо выдумывать проблемы там где их нет.
__________________
Разработка проектов связанных с криптовалютой. Разумные цены. Хорошее качество. Адекватный подход.
Ищем админа на сервер, в личку: цену установки vdsmanager на hetzner и расстановку ИП.
edogs вне форума   Ответить с цитированием
Старый 19.05.2019, 21:47   #6
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,698
Репутация: 1432637

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
Посылка автогенереных паролей не создает проблем как таковых.
Не создаёт для тех, кто не понимает в безопасности.
Пароли не должны даже храниться в открытом виде, не то что "передаваться".
Ни одна уважающая себя система так не должна поступать, опираясь на верования в неуловимости Джо.

---------- Добавлено 19.05.2019 в 21:58 ----------

Цитата:
Сообщение от edogs Посмотреть сообщение
Если у злого хакера есть доступ к почте, то он по ссылке точно так же установит пароль.
Не также.
Про время жизни ссылки для восстановления пароля (ограниченое несколькими [десятком] минутами) надо рассказывать ?
А про сверку соответствия IP/UA/етс?
А про разные контрольные вопросы?
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 19.05.2019, 22:07   #7
ziliboba0213
Академик
 
Аватар для ziliboba0213
 
Регистрация: 03.09.2009
Адрес: Санкт-Петербург
Сообщений: 6,170
Репутация: 1008398

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Пароли не должны даже храниться в открытом виде, не то что "передаваться".
Я хотел про соль спросить, она тоже небезопасна уже? В соседних темах ты писал про безопасность, но я смутно понял, я вообще отстаю от этого Все больше задания раздаю...

P.S. Тему потерял, с пьяну, простите все, если что
ziliboba0213 вне форума   Ответить с цитированием
Старый 19.05.2019, 22:10   #8
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,698
Репутация: 1432637

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от ziliboba0213 Посмотреть сообщение
Я хотел про соль спросить, она тоже небезопасна уже?
"Соль" и "открытый вид" взаимоисключающие понятия
"Соль", если по-бытовому - своего рода шифрация.
SeVlad вне форума   Ответить с цитированием
Старый 19.05.2019, 22:16   #9
ziliboba0213
Академик
 
Аватар для ziliboba0213
 
Регистрация: 03.09.2009
Адрес: Санкт-Петербург
Сообщений: 6,170
Репутация: 1008398

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
"Соль" и "открытый вид" взаимоисключающие понятия
"Соль", если по-бытовому - своего рода шифрация.
Не, ты писал, что md5 и т.п. уже не очень... Я и хотел уточнить, с солью норм или тоже уже не катит?

P.S. Прости, я выпил немного Давно не беседовал тут
ziliboba0213 вне форума   Ответить с цитированием
Старый 19.05.2019, 22:22   #10
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,698
Репутация: 1432637

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от ziliboba0213 Посмотреть сообщение
Не, ты писал, что md5 и т.п. уже не очень... Я и хотел уточнить, с солью норм или тоже уже не катит?
Я писал, что "md5 и т.п. уже не очень"? Ты что-то путаешь.
Я мог писать, что они без соли менее устойчивы к взлому или что могут быть коллизии. И то при определённых условиях (напр хеши всех известных паролей так же известны).

Ида без соли (на сегодня) хранят пароли только ламеры. Но их к сож немало
SeVlad вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны