Recientemente solicité un trabajo en una empresa que creaba
soluciones críticas para la seguridad para militares, aeroespaciales, ...
Después de registrarme en su página web, recibí un correo electrónico con mi nombre de usuario y una contraseña única de texto sin formato . Mi primera reacción fue saltar con horror ante su incompetencia, especialmente dado que la seguridad debería ser su competencia , pero después de pensarlo dos veces, me di cuenta de que soy un usuario nuevo y que nada está en estaca todavia Pero luego veo que su función de restablecimiento de contraseña en realidad envía una contraseña única de texto simple .
Esto me hizo pensar, ¿es realmente tan malo enviar una contraseña de un solo uso en texto sin formato ? Especialmente cuando alguien que dice que se gana la vida con seguridad lo hace?
Estaba leyendo esta respuesta muy acertada que dice que nunca debe enviar ninguna contraseña por correo electrónico. En cambio, si su usuario olvida su contraseña, debe enviarles un enlace de restablecimiento de contraseña único .
¿Pero cuál es la diferencia fundamental entre una contraseña de un solo uso y un enlace de un solo uso?
Hasta ahora, no pude encontrar ninguna. Las dos pistas más cercanas que obtuve son:
-
La respuesta altamente votada menciona que:
Haga todo esto sobre SSL.
Es decir, enviar el enlace de una sola vez a través de SSL. No entiendo este punto en absoluto. ¿Cómo puede enviar a alguien un enlace de restablecimiento de una sola vez (en un correo electrónico presumiblemente) a través de SSL?
-
Hubo un comentario de @Anders en esta pregunta mencionando que un enlace caducará, pero una contraseña de una sola vez no lo hará. Pero una vez más, no compro esto. Las contraseñas caducan si las desea.
Además, si el usuario tiene un nombre de usuario que es diferente de su dirección de correo electrónico, entonces una contraseña de un solo uso puede ser más segura que un enlace para restablecer la contraseña. Cualquiera puede interceptar el enlace, iniciar sesión y robar datos, pero si solo el usuario sabe el nombre de usuario, solo él puede usar la contraseña de un solo uso.
¿Sabe cómo reaccionan las personas que se ocupan de la seguridad de la información cuando escuchan las palabras contraseña y texto sin formato en la misma oración, verdad? Si un enlace de restablecimiento de contraseña de una sola vez es solo un nombre de usuario y contraseña de una sola vez, entonces esta práctica debería ser aún más , ¿verdad?
En general: ¿El hecho de enviar contraseñas de un solo uso por correo electrónico en texto sin formato significa una incompetencia absoluta?