¿Qué decir al administrador de web de un sitio que envía las contraseñas por correo electrónico al registrarse?

2

No es raro recibir un correo electrónico con mi identificación de usuario y contraseña justo después de registrarme en un sitio web. Sin embargo, creo que es una mala práctica, ya que parece que esos correos electrónicos no se pueden hacer realmente seguros.

  • ¿Es realmente incorrecto enviar esas contraseñas por correo electrónico? Leí mucho sobre este tema, pero no puedo encontrar una respuesta clara.
  • Si está mal, ¿cómo lo digo? ¿ellos? ¿Hay alguna referencia clara sobre este tema?
pregunta Philippe-André Lorin 21.02.2018 - 18:44
fuente

2 respuestas

1

Ciertamente no es una práctica segura. Pero en cuanto a si los sitios inseguros que utilizan esta práctica son peores que otros sitios inseguros, depende de sus usuarios y del modelo de amenaza.

Si el 50% de las contraseñas de sus usuarios son "111111", "qwerty" y "bugmenot", y el 45% es igual a sus inicios de sesión, realmente podría mejorar la seguridad de esa manera.

Si su política de restablecimiento de contraseña no requiere nada más que el correo electrónico del usuario, que es muy común, entonces cualquier MITM o cualquier persona con acceso a su correo o el de su usuario ya tiene la puerta abierta. Sin embargo, no son la única amenaza ...

El problema real son las implicaciones de tal práctica. Es de esperar que las contraseñas no se almacenen en texto sin formato, pero los correos electrónicos se conservan en algunas bases de datos, y estas contraseñas se perderán cuando se extrae una. Recibo muchas ofertas específicas de spam para vender la base de datos de usuario de un sitio web que ejecuto; No sé cuánta gente los acepta, pero algunos sí lo hacen.

Por supuesto, si lo único que tiene valor en su sitio web son las direcciones de correo electrónico de los usuarios, el daño debe ser ponderado contra la mitigación del daño de la reutilización de la contraseña para los usuarios que no les importa.

Para un sitio que tiene datos de usuario de valor real, o especialmente financiero, cualquier transmisión de la contraseña es altamente inapropiada. Incluso si tiene que cambiarse de inmediato, ese inicio de sesión único se realiza mejor con un token de autenticación de una sola vez. Por lo tanto, es poco probable que cualquier sitio que siga esta práctica esté diseñado de manera segura.

    
respondido por el Therac 21.02.2018 - 20:41
fuente
0

En resumen, podrías decirles a estos webmasters:

  • La administración manual de las contraseñas es demasiado trabajo para él.
  • Una función para restablecer la contraseña es genial.
  • La mayoría de los sitios web envían una URL de tiempo limitado para restablecer la contraseña.
  • La contraseña no debe almacenarse, sino un valor hash como sha256.

Y: Si él no conoce su contraseña, su posición legal es mucho más fuerte.

    
respondido por el bbaassssiiee 21.02.2018 - 22:37
fuente

Lea otras preguntas en las etiquetas