envoi du nom d'utilisateur et du mot de passe par e-mail après l'enregistrement de l'utilisateur dans l'application web
Quelle est votre opinion sur l'envoi du nom d'utilisateur et le mot de passe par e-mail lors de leur inscription sur notre site web..de cette façon si vous oubliez le mot de passe dans le futur, ils peuvent consulter leurs e-mails...aussi, nous n'avez pas à implent l'oublier/réinitialiser le mot de passe scénario (nous sommes à proximité de la libération)..
cette approche est-elle suffisamment en sécurité?
- Ma deuxième question est que, fondamentalement, sur notre site, l'utilisateur remplit certaines formes et entrez quelques informations comme leur nom, adresse, numéro de téléphone, les renseignements sur le revenu, et les renseignements personnels..à la fin, au moment du dépôt de la demande, nous sommes à la pensée de l'envoi d'un résumé de toutes ces informations comme leur nom, adresse, etc de sorte qu'ils ont pour leurs dossiers..
est-ce ok..assez sûr..quelles sont les préoccupations
source d'informationauteur
Vous devez vous connecter pour publier un commentaire.
Ne jamais envoyer un mot de passe ou d'autres informations sensibles en clair. Qui inclut e-mail. Vous devez également être stocker que peu de ce que possible dans un recouvrable format. Communication non chiffrée, en particulier e-mail, est facilement altéré, et vous ne voulez pas de mauvaises personnes, arriver à des mots de passe.
Si possible:
Stocker vos mots de passe dans un salée de hachage, de sorte que le texte original est irrécupérable, et donc incassable par quoi que ce soit à court d'une attaque de force brute. Si l'utilisateur oublie son mot de passe, faire reset et lui envoyer un mot de passe temporaire (qui ils sont nécessaire à changer lors de la connexion) ou d'un lien de confirmation (qui, encore une fois, vous invite à entrer un nouveau mot de passe) via e-mail.
Ne jamais rien envoyer sensibles par e-mail; si l'utilisateur a besoin d'informations, de les faire accéder à votre site pour obtenir. Vous utilisez le protocole HTTPS, droit?
Ma règle d'or serait - si vous êtes d'accord par écrit sur une carte postale et l'envoyer par la poste, alors c'est OK pour la norme e-Mail. Je ne pense pas que les renseignements sur le revenu serait tomber dans cette catégorie pour la plupart des gens.
Comme pour les mots de passe, s'ils ne peuvent pas se rappeler en premier lieu, ils ne seront pas en mesure de trouver l'e-Mail que vous avez envoyé avec le mot de passe, et c'est un aveu de les stocker dans le clair. Je voudrais l'éviter et de leur donner les moyens de réinitialisation - ils auront besoin que de toute façon.
Souvent, les gens de partager des mots de passe sur les sites. Si vous devez supposer que le même mot de passe fonctionne pour le client des services bancaires en ligne, et vous ne devriez jamais envoyer par e-mail ou un moyen pour (quelqu'un prétendant être) le client pour le récupérer.
C'est bien de leur envoyer un e-mail de confirmation avec leur nom d'utilisateur - c'est utile.
Rappelez-vous, si vous e-mail leur mot de passe, ils ont tendance à oublier que l'e-mail, ou tout simplement le supprimer. Si vous avez besoin d'un autre mécanisme de réinitialisation de mot de passe de toute façon.
La meilleure façon de traiter le "mot de passe oublié" est pour l'utilisateur de vous demander de l'e-mail de l'utilisateur un lien; lorsqu'il clique sur le lien, vous permettent de saisir un nouveau mot de passe.
En matière de renseignements personnels (adresse, revenus, etc): pourquoi quelqu'un voudrait-ce par la poste? Ils le savent déjà! Vous êtes juste d'envoyer des données personnelles en clair sur internet pour aucune raison.
Le souci est certainement dans l'envoi de l'email avec le mot de passe. Si elle n'est pas correctement chiffré, quelqu'un pourrait potentiellement renifler les paquets à partir d'e-mails envoyés et récupérer le mot de passe. Aussi, la personne pourrait avoir une détourné compte de messagerie. Si ce n'est pas une grosse affaire si quelqu'un vole le mot de passe, alors vous n'avez pas à vous inquiéter, mais sinon, je n'envoie PAS de mots de passe non cryptés via e-mail.
Edit: pour répondre À votre deuxième question, je ne voudrais pas le même e-mail. J'aurais plutôt que d'envoyer un lien afin qu'ils puissent facilement voir leur profil/informations lorsqu'ils se connectent.
Je dis aux gens à penser de l'e-mail comme une carte postale, un employé d'une société qui gère entre l'expéditeur et le destinataire puisse le lire.
Lorsque vous envoyer des informations par e-mail, il ne sera pas sécurisé. Il y a beaucoup de façons que quelqu'un peut l'obtenir. Ce serait un jeu d'enfant pour un métier de pirates qui cherchent à voler vos informations.
S'abstenir d'envoyer des informations personnelles comme les mots de passe et les données sur le revenu par e-mail car il peut devenir TRÈS EMBARRASSANT pour vous et votre entreprise, si cette information n'a filtré ou volés. Pensez à la sécurité au sérieux. Il faut juste que l'un des incidents pour toutes les briques à l'automne.
Que pour la récupération de mot de passe, lire attentivement Mot De Passe Oublié Meilleures Pratiques.
EDIT: Lien mis à Jour...
Plus simplement de ne pas inclure le nom d'utilisateur mot de passe combinaison en raison de la sécurité de la messagerie externe du client. Tous les numéros d'utilisateurs pourrait la force brute, ou de deviner le mot de passe du compte de messagerie de d'un autre utilisateur qui permettrait de hacker pour afficher l'e-mail de votre site. Ensuite, le pirate peut faire des ravages sur votre site, ainsi
Je dirais fournir un mot de passe oublié fonction sera toujours essentiel que tout le monde ne sera garanti pour garder tous il y a des e-mails (ou même être en mesure de les retrouver plus tard sur)...
Je suis d'accord avec la réponse sommet, et d'ajouter: chaque fois que je reçois un e-mail de confirmation d'inscription contenant mon mot de passe j'ai supprimer les e-mails et fortement penser à ne jamais utiliser ce service web à nouveau. Pour moi, il indique un manque de sécurité & confidentialité conscience.
J'ai trois règles concernant les mots de passe:
Comme mentionné dans les commentaires, vous voudrez peut-être regarder à OpenID. Le moyen le plus sécurisé pour gérer les mots de passe est de les éliminer.
J'ai créer une Application Web d'envoyer des informations sensibles par e-mail. Ce n'est pas de l'INTERFACE utilisateur parfait, mais il est vraiment sécurisé et fonctionne très bien.
- T-il un plugin outlook, API permettant de connecter un site web et le Site web.
Le concept est le message reçu dans votre boîte aux lettres ne sont pas dans le texte clair. C'est un e-mail HTML avec un lien. Vous devez cliquer sur le lien pour accéder au contenu de l'e-mail. Quand c'est l'accès une seule fois, le message sont les détruire.
Le message sont stock dans une base de données crypté de notre côté. Vous pouvez configurer un mot de passe qui sont connues que par les deux partie pour ouvrir le message en ligne, ou de recevoir un mot de passe (Aléatoire 6 nombre) par SMS.
C'est très simple à mettre en œuvre par l'API.
Il est un exemple
//https://www.secure-exchanges.com/API.aspx