¿Qué ocurre con un sitio web que incluye una contraseña en un correo electrónico de confirmación? [duplicar]

Navega tus respuestas
2

Hace poco me registré en un sitio web y recibí un correo electrónico que decía "Gracias por registrarte, aquí tienes el nombre de usuario y la contraseña que usaste para registrarte".

El webmaster me asegura que las contraseñas de texto simple no se almacenan en la base de datos, pero incluso si el texto simple solo se mantiene el tiempo suficiente para enviar el correo electrónico, sigue siendo una mala señal, ¿no?

¿Existen otros riesgos además de que "el correo electrónico es inseguro, por lo que no debería enviar las contraseñas"?

    
pregunta Jeff Burka 12.03.2014 - 02:34
fuente

2 respuestas

3

Cuando un webmaster le envía una contraseña de texto sin formato, eso generalmente implica que no tienen contraseñas de hash, lo que es una mala señal. Pero cuando el webmaster le aseguró que lo hicieron justo después de que enviaron el correo de confirmación, asumiría la buena fe y asumiría que dicen la verdad. Es poco probable que esos pocos microsegundos más durante los cuales el sistema tenga acceso a su contraseña de texto simple sean un riesgo de seguridad adicional realista. Pero el envío de contraseñas de texto simple en el correo electrónico sigue siendo un anti-patrón peligroso que debe evitarse:

  • Los correos electrónicos generalmente se transfieren y se almacenan sin cifrar . Eso significa que su proveedor de correo o cualquier servidor intermedio podría comprometer una contraseña.
  • Es vulnerable a la navegación accidental (o intencional) con el hombro. La razón por la que todas las entradas de contraseña ocultan los caracteres ingresados es que puede registrar una cuenta e iniciar sesión en ella mientras tiene a otra persona con usted. Pero cuando la contraseña aparezca en texto sin cifrar en el correo de confirmación, esa persona la verá (no tiene por qué creer que el correo contendrá información confidencial, excepto la habitual "bienvenida a yadda yadda, haga clic aquí para activar la cuenta yadda yadda ", por lo que no tendría razón para decirles que aparten la vista cuando la abran).
  • Se compromete su cuenta cuando alguien recibe un vistazo a su correo electrónico. Por ejemplo, cuando accedió a él desde una computadora pública y no se desconectó o abandonó su escritorio sin bloquear su escritorio mientras tiene compañía. Se podría argumentar que su cuenta de correo electrónico es su clave maestra para su identidad en línea porque le permite restablecer o solicitar (¡la contraseña no dañada! ¡Mala!) La contraseña de casi cualquier otra cuenta que tenga, por lo que debe protegerla a cualquier costo. Pero la solicitud de contraseñas a través del correo electrónico dejaría huellas y le diría cómo y cuándo se obtuvo su contraseña. El simple hecho de desplazarse por su correo mientras no está buscando no lo haría.
respondido por el Philipp 12.03.2014 - 10:50
fuente
1

El envío de una contraseña permanente por correo electrónico no es aceptable si le preocupa la seguridad de la cuenta.

Sin embargo, si el sitio web no es importante para usted (por ejemplo, un foro de discusión), puede que no importe.

¿Qué es la protección de contraseña?

¿La contraseña está destinada a protegerlo a usted y a su información?

¿O tiene la intención de beneficiar al sitio web, como permitir que el sitio realice un seguimiento de su actividad o proteger de la publicación a "usuarios desconocidos"? Hay tantos sitios que requieren que se registre pero que le brindan poco valor.

Si alguien robara mi cuenta en este sitio, estaría triste pero lo superaría. Si me robaron la información de mi cuenta bancaria, esa es una historia diferente.

    
respondido por el jdigital 12.03.2014 - 04:09
fuente

Lea otras preguntas en las etiquetas

¿Almacenar qué partes de una dirección IP, para que el usuario permanezca en el anonimato? ¿La pila .net mvc / iis admite listas blancas para la autenticación bidireccional para conexiones SSL / TLS?