¿Olvidó su contraseña? - envía un correo electrónico con contraseña de texto simple

4

Una compañía de educación "reputada" que mi universidad utiliza para su Física Los materiales del curso en línea enviaron mi contraseña de texto simple en un correo electrónico después de usar la herramienta Forgot Password? .

Sé que esto es una mala práctica y es un poco desconcertante que proviene de una importante empresa "reputada".

Lo que quiero saber es si sería prudente o valioso ponerse en contacto con la empresa y preguntar / informarles sobre este problema para ver si están dispuestos a solucionarlo.

¿Debo tomar precauciones adicionales en su sitio web además de usar una contraseña completamente única?

    
pregunta Brandon Kreisel 14.10.2013 - 02:20
fuente

3 respuestas

2

Cuando alguien ha olvidado su contraseña, no hay mucho que construir para permitir un "restablecimiento de contraseña". El uso del correo electrónico es débil pero hay pocas opciones.

El problema es que te envían tu contraseña como texto sin formato, lo que significa que tienen tu contraseña almacenada en algún lugar, sin protección. Esto es malo . Si está dispuesto a señalarlos públicamente y burlarse de ellos, entonces puede compartir su experiencia en este sitio ; Sin embargo, la gente en general no reacciona bien a la burla. Enviarles un correo electrónico antes de que valga :

  • En todo caso, aumentará tu propio ego. Jugar el papel del buen chico de la historia siempre está eufórico.
  • Son una empresa de educación que trabaja con una universidad: deben conocer nominalmente el valor del conocimiento y estar abiertos a sugerencias.
  • Son una empresa de educación que trabaja con una universidad : sus usuarios son estudiantes , que son, por seguridad, un grupo temible: son jóvenes, no completamente racionales , propensos a hurgar en las cosas por diversión, tienen tiempo en sus manos y tienen acceso a una gran cantidad de poder de cómputo. Esto resalta la necesidad de una seguridad realmente buena.

De todos modos , reutilizar las contraseñas es malo. Debería ya estar usando una contraseña específica para su sitio. Al devolver su contraseña por correo electrónico, demuestran la seguridad descuidada, pero no sería realista suponer que los sitios web promedio funcionan mejor. Una contraseña por sitio es la regla. Por supuesto, esto implica gestionar muchas contraseñas; esto se puede solucionar con un software de administración de contraseñas como éste .

    
respondido por el Tom Leek 15.10.2013 - 14:28
fuente
3

Definitivamente creo que vale la pena decirle a la compañía cómo se siente con respecto a cómo manejan su privacidad. Estoy seguro de que la administración a menudo no conoce los detalles técnicos o las implicaciones de la política de almacenamiento de contraseñas.

Me he encontrado con esto dos veces con resultados mixtos:

  • T-Mobile: te envían un mensaje de texto con una contraseña de texto simple al portal de tu cuenta cuando envías tu número de teléfono al enlace de contraseña perdida. No estaban interesados en escuchar sobre el problema.

  • Jimmy Johns: el formulario de contraseña olvidada estaba enviando contraseñas de texto sin formato por correo electrónico. Cuestioné la práctica, y se disculparon e inmediatamente implementaron un código para restablecer la contraseña. No sé si comenzaron las contraseñas de hash.

Es una práctica horrible, y animo a todos a presionar a las empresas que hacen esto.

    
respondido por el David Houde 14.10.2013 - 03:43
fuente
3

Claro, también podrías decirles, pero no te hagas ilusiones. En mi experiencia, si a todo el departamento de TI no le importa o no entiende la seguridad, un correo electrónico de un tercero no cambiará eso.

Es una buena idea usar una contraseña para desechar. Si su cuenta comprometida pudiera afectar su vida fuera de este sitio, una mejor idea sería no crear una cuenta en absoluto.

Si envía un correo electrónico, sugeriría que lo envíe al departamento de TI, así como a la oficina del CEO. Es posible que tenga más posibilidades de hacer algo si están preocupados por meterse en problemas.

    
respondido por el Abe Miessler 14.10.2013 - 03:49
fuente

Lea otras preguntas en las etiquetas