¿Olvidó su contraseña? - envía un correo electrónico con contraseña de texto simple

Cuando alguien ha olvidado su contraseña, no hay mucho que construir para permitir un "restablecimiento de contraseña". El uso del correo electrónico es débil pero hay pocas opciones.

El problema es que te envían tu contraseña como texto sin formato, lo que significa que tienen tu contraseña almacenada en algún lugar, sin protección. Esto es malo . Si está dispuesto a señalarlos públicamente y burlarse de ellos, entonces puede compartir su experiencia en este sitio ; Sin embargo, la gente en general no reacciona bien a la burla. Enviarles un correo electrónico antes de que valga :

• En todo caso, aumentará tu propio ego. Jugar el papel del buen chico de la historia siempre está eufórico.
• Son una empresa de educación que trabaja con una universidad: deben conocer nominalmente el valor del conocimiento y estar abiertos a sugerencias.
• Son una empresa de educación que trabaja con una universidad : sus usuarios son estudiantes , que son, por seguridad, un grupo temible: son jóvenes, no completamente racionales , propensos a hurgar en las cosas por diversión, tienen tiempo en sus manos y tienen acceso a una gran cantidad de poder de cómputo. Esto resalta la necesidad de una seguridad realmente buena.

De todos modos , reutilizar las contraseñas es malo. Debería ya estar usando una contraseña específica para su sitio. Al devolver su contraseña por correo electrónico, demuestran la seguridad descuidada, pero no sería realista suponer que los sitios web promedio funcionan mejor. Una contraseña por sitio es la regla. Por supuesto, esto implica gestionar muchas contraseñas; esto se puede solucionar con un software de administración de contraseñas como éste .

Definitivamente creo que vale la pena decirle a la compañía cómo se siente con respecto a cómo manejan su privacidad. Estoy seguro de que la administración a menudo no conoce los detalles técnicos o las implicaciones de la política de almacenamiento de contraseñas.

Me he encontrado con esto dos veces con resultados mixtos:

• T-Mobile: te envían un mensaje de texto con una contraseña de texto simple al portal de tu cuenta cuando envías tu número de teléfono al enlace de contraseña perdida. No estaban interesados en escuchar sobre el problema.

• Jimmy Johns: el formulario de contraseña olvidada estaba enviando contraseñas de texto sin formato por correo electrónico. Cuestioné la práctica, y se disculparon e inmediatamente implementaron un código para restablecer la contraseña. No sé si comenzaron las contraseñas de hash.

Es una práctica horrible, y animo a todos a presionar a las empresas que hacen esto.

Claro, también podrías decirles, pero no te hagas ilusiones. En mi experiencia, si a todo el departamento de TI no le importa o no entiende la seguridad, un correo electrónico de un tercero no cambiará eso.

Es una buena idea usar una contraseña para desechar. Si su cuenta comprometida pudiera afectar su vida fuera de este sitio, una mejor idea sería no crear una cuenta en absoluto.

Si envía un correo electrónico, sugeriría que lo envíe al departamento de TI, así como a la oficina del CEO. Es posible que tenga más posibilidades de hacer algo si están preocupados por meterse en problemas.