Fórum Root.cz
Ostatní => /dev/null => Téma založeno: tomasCZE 05. 08. 2024, 12:17:46
-
Ahoj, jakým způsobem byste se stavěli k situaci, kdy Vám z e-shopu přijde zapomenuté heslo plain textem v těle mailu?! Popravdě z toho mám docela osypky 😬
-
Já mám osypky z toho, že někdo sdělí e-shopu heslo, a pak se diví, že e-shop to heslo zná.
Jakmile někomu heslo sdělíte, musíte počítat s tím, že to heslo zná, má ho někde uložené (i když třeba omylem) a to heslo může uniknout. Takže používejte správce hesel, unikátní heslo pro každý systém – a pak bude jedno, jak to heslo mají uložené.
Ano, vím o tom, že se říká, že by systém měl to heslo hashovat. Ale tady se bavíme o pohledu uživatele, ne provozovatele systému.
Jako uživatel nemáte šanci zjistit, zda provozovatel zachází s hesly bezpečně. Tady je jasné, že má hesla uložená v otevřeném tvaru. Ale kdyby vám ten e-mail s heslem neposlali, budou mít hesla uložená pořád stejně. Bezpečnost toho e-shopu se mezi včerejškem a dneškem nezhoršila – tudíž jste měl od začátku předpokládat, že mají heslo uložené v otevřeném tvaru, a dnes se vám to jen potvrdilo.
Já jsem vlastně rád, že pořád existují takové weby, které vám to heslo pošlou zpátky e-mailem. Aspoň to občas někoho probudí a dojde mu, že jakmile napíše heslo do prohlížeče, předal ho provozovateli příslušného webu. A že možná nechce své heslo k e-mailu sdílet se všemi weby, kam se přihlašuje (navíc tím e-mailem). Že možná vůbec nechce heslo k jednomu webu sdílet s jiným webem.
-
tak pak bych platil uz jedine hotove z ruky do ruky 😁
-
Já mám osypky z toho, že někdo sdělí e-shopu heslo, a pak se diví, že e-shop to heslo zná.
Jakmile někomu heslo sdělíte, musíte počítat s tím, že to heslo zná, má ho někde uložené (i když třeba omylem) a to heslo může uniknout. Takže používejte správce hesel, unikátní heslo pro každý systém – a pak bude jedno, jak to heslo mají uložené.
Ano, vím o tom, že se říká, že by systém měl to heslo hashovat. Ale tady se bavíme o pohledu uživatele, ne provozovatele systému.
Jako uživatel nemáte šanci zjistit, zda provozovatel zachází s hesly bezpečně. Tady je jasné, že má hesla uložená v otevřeném tvaru. Ale kdyby vám ten e-mail s heslem neposlali, budou mít hesla uložená pořád stejně. Bezpečnost toho e-shopu se mezi včerejškem a dneškem nezhoršila – tudíž jste měl od začátku předpokládat, že mají heslo uložené v otevřeném tvaru, a dnes se vám to jen potvrdilo.
Já jsem vlastně rád, že pořád existují takové weby, které vám to heslo pošlou zpátky e-mailem. Aspoň to občas někoho probudí a dojde mu, že jakmile napíše heslo do prohlížeče, předal ho provozovateli příslušného webu. A že možná nechce své heslo k e-mailu sdílet se všemi weby, kam se přihlašuje (navíc tím e-mailem). Že možná vůbec nechce heslo k jednomu webu sdílet s jiným webem.
Zajímavá dedukce 🤔 nikde nepíšu, že bych tam nepoužil unikátní heslo 🤷♂️
Pro přístupny nepoužívám jeden mail a už vůbec neopakuji žádná hesla. Takže v tomhle směru mi to je “jedno”. Spíš mě udivuje způsob jejich řešení…
-
Zajímavá dedukce 🤔 nikde nepíšu, že bych tam nepoužil unikátní heslo 🤷♂️
Však já jsem také nikde nepsal, že vy nepoužíváte unikátní heslo.
Spíš mě udivuje způsob jejich řešení…
Ono je to implementačně nejjednodušší řešení. A je férové – nepředstírá to, že provozovatel webu vaše heslo nezná. Upřímně: kdybyste jim to nahlásil a oni by vám po nějaké době odpověděli, že už to vyřešili – věřil byste, že ta nová implementace je nějak zásadně lepší?