Высылать пароль на email после регистрации — небезопасно?

Question

[varnav]

Здравствуйте!

Постоянно встречаются сайты, которые просят ввести пароль после регистрации, а потом высылают его же на email.
Есть ли какая-то статья, где объясняется что так делать нехорошо и почему?
А то попытки написать авторам сайтов обычно натыкаются на стену непонимания.

UPD: "У них" существует проект plaintextoffenders.com. Есть ли в рунете аналог?

Comments

[nirvimel]

В таких случаях необходимо сразу менять пароль при следующем заходе. Но как заставить это делать юзеров?

[Shodan Mind]

у этого проекта есть еще приложение для хрома

Answer 1

[Dimonchik]

статья:

если сервис в состоянии выслать пароль вам в том виде, в каком вы его вводили, или в каком он генерил, но высылает снова или... говоря короче, в обычном виде - этот сервис хранит пароли в своей БД в открытом виде. Значит, в случае взлома, в том числе распространенного как SQL Injection ваш пароль будет доступен злоумышленнику ВНЕ зависимости от его сложности

Comments

[АртемЪ]

Утверждение не соответствует действительности.
Какая связь между хранением и высыланием пароля?

[varnav]

Дядька Серёжа: это как раз нормально. речь о высылке текущего пароля и введённого пользователем пароля.

[varnav]

АртемЪ: прямая. как можно выслать хэшированный пароль?

[Дядька Серёжа]

varnav: Наверное в RFC или в других лучших практиках ... С ходу думаю никто не ответит.

[Dimonchik]

ну иногда хранят не хеши, а шифр, типа, если сломают - все равно ничего не поймут, но для меня это всегда сигнал, когда вижу пасс в читом виде

[АртемЪ]

varnav: А зачем высылать хэшированный пароль?
Пользователь вводит пароль, сервис отсылает пароль пользователю на всякий случай на почту.
После чего хэширует его, хэш ложит в базу, а оригинал удаляет.
Т.е пароль нигде не сохраняется и существует только в памяти сервера в момент создания.

[Dimonchik]

АртемЪ: Ваши б слова да разработчику в уши. Хотя - мы, наверно, о разном. В момент создания - да, согласен. Я же о случаях, когда делается восстановление пароля. Если вместо ссылки на смену прилетает оригинал - ооочень сомнительно, что он хранится хешем.

Кстати, в номере "пароль похож на предыдущий" тоже сомнительно, что фильтр Блума применяется

[АртемЪ]

dimonchik2013: Ну пароли редко кто хранит в чистом виде, обычно в виде хэшей.
Чтобы при восстановлении пароля высылали сам пароль - такого не встречал.
Хотя возможно, но это уже однозначно говорит о том что пароль хранится на сервере.
Это в принципе не безопасно.
Хотя может там безопасность и не нужна.

[varnav]

АртемЪ: нигде не сохраняется кроме десятка серверов, через которые он прошёл, когда был отправлен по почте.

[АртемЪ]

varnav: Я не пойму какие у вас претензии?
Не нравится не пользуйтесь.
Нет вариантов - пользуйтесь, и не учите других работать.

Уж владелец ресурса сам разберется что и как ему делать - а нравится это пользователям или нет, это проблемы пользователей.

Answer 2

[Оптимус Пьян]

Если это форум или какая-то второстепенная система то без разницы, пусть высылают, даже удобно (не потеряю) а если какие-то серьёзные системы то наверное нежелательно, хотя знаю хостеров которые высылают на почту сгенерированный пароль.
Всё от юзера зависит, ведь письмо с паролем можно удалить сразу же... Так что я не думаю что это небезопасно...

Comments

[nirvimel]

1. SMTP - открытый нешифрованный протокол, ничем не защищен.
2. После того как пароль уже скомпрометирован, удаление ни на что не влияет.
3. Если почтовый сервер не ваш личный и не вы его настраивали, то нет никакой гарантии удаления. Такое "удаление" может сводиться к пометке определенным флагом соответствующей записи в базе, чтобы не отображать ее пользователю.

[Оптимус Пьян]

nirvimel: Ещё раз говорю если это пароль на форум то мне без разницы что SMTP - открытый нешифрованный, я могу его хоть на монитор прямо себе приклеить

[varnav]

Дмитрий: наклейка на монитор вполне безопасна, пароль доступен только при наличии физического доступа к наклейке. это гораздо лучше чем в открытую пересылать пароль через десяток узлов (на каком-нибудь да стоит сниффер)

Answer 3

[tguglanaklona]

Согласна с dimonchik2013. К тому же, если некто завладеет доступом к Вашей почте, то и SQL-Injection не будет нужна, достаточно архива почтовых сообщений. А пользователи, как известно, часто используют одни и те же пароли на различных сервисах.