¿Cuándo usar SSL? / ¿Cuándo enviar contraseñas por correo?

Navega tus respuestas
1

Los expertos autoproclamados se apresuran a decir que cada vez que se transmite una contraseña de un servidor web a un usuario y vv, debe usar SSL. Porque siempre habrá personas que intentarán obtener su contraseña y estarán siempre entre usted y el servidor del que solicita los datos. Si estás en un foro de crochet, se gastarán millones de euros para obtener tu contraseña, incluso si eres una abuela de 90 años sin dinero.

Lo mismo ocurre con el envío de contraseñas por correo electrónico.

Dado que los certificados SSL son costosos, ¿cómo deberían juzgarse estos dos problemas de seguridad?

¿Cuándo es necesario tener SSL?

¿Nunca deberías enviar contraseñas por correo?

    
pregunta Zurechtweiser 13.06.2013 - 00:49
fuente

3 respuestas

10

Como regla general, si ejecuta un sitio web que requiere autenticación, debe ejecutar SSL. Y debatiría su declaración de que los certificados SSL son costosos ... Acabo de comprar uno para mi sitio web personal por menos de 15 euros durante dos años. Es más barato que el nombre de dominio, de hecho.

Tampoco debes enviar contraseñas por correo electrónico. Es un poco más seguro enviar por correo electrónico los enlaces para restablecer la contraseña.

El problema real no es que alguien pueda obtener la contraseña del foro de Granny, sino que es probable que Granny haya utilizado esa misma contraseña para el sitio web de su banco. Y no podemos haberlo robado.

    
respondido por el Xander 13.06.2013 - 01:03
fuente
7

La difusión del token de sesión en un canal inseguro, como HTTP, es una violación de OWASP a9 y se puede usar para comprometer una sesión autenticada ( Firesheep ). La contraseña y cada solicitud que contenga un token de sesión debe transmitirse a través de HTTPS.

Si su aplicación web utiliza autenticación, HTTPS es obligatorio .

    
respondido por el rook 13.06.2013 - 01:20
fuente
2

El costo es relativo, los buenos certificados no son baratos, y tal vez los certificados "suficientemente buenos" no son muy costosos ... pero en cuanto a la pregunta de la contraseña, OMI, NUNCA debe enviar a alguien su contraseña, no debería Poder A cualquier servicio en línea que pudo enviarme por correo electrónico mi contraseña olvidada, cancelo mi cuenta y sigo adelante; Tenía que hacerlo varias veces. Muestra una falta fundamental de conciencia de seguridad, especialmente si también tienen información de CC y / u otra información personal.

Si pueden enviarle la contraseña por correo electrónico, no la están almacenando correctamente.

    
respondido por el E.J. Brennan 13.06.2013 - 01:47
fuente

Lea otras preguntas en las etiquetas

¿Por qué debería molestarse en cifrar el disco duro en Linux si se puede recuperar fácilmente la contraseña de root? Mi amigo escribe las contraseñas con el algoritmo SHA512 sin sal. ¿Cómo le convenzo de que necesita agregar sal?