Zapomenuté heslo plaintextem v těle mailu

Zapomenuté heslo plaintextem v těle mailu
« kdy: 05. 08. 2024, 12:17:46 »
Ahoj, jakým způsobem byste se stavěli k situaci, kdy Vám z e-shopu přijde zapomenuté heslo plain textem v těle mailu?! Popravdě z toho mám docela osypky 😬


Re:Zapomenuté heslo plaintextem v těle mailu
« Odpověď #1 kdy: 05. 08. 2024, 13:03:30 »
Já mám osypky z toho, že někdo sdělí e-shopu heslo, a pak se diví, že e-shop to heslo zná.

Jakmile někomu heslo sdělíte, musíte počítat s tím, že to heslo zná, má ho někde uložené (i když třeba omylem) a to heslo může uniknout. Takže používejte správce hesel, unikátní heslo pro každý systém – a pak bude jedno, jak to heslo mají uložené.



Ano, vím o tom, že se říká, že by systém měl to heslo hashovat. Ale tady se bavíme o pohledu uživatele, ne provozovatele systému.

Jako uživatel nemáte šanci zjistit, zda provozovatel zachází s hesly bezpečně. Tady je jasné, že má hesla uložená v otevřeném tvaru. Ale kdyby vám ten e-mail s heslem neposlali, budou mít hesla uložená pořád stejně. Bezpečnost toho e-shopu se mezi včerejškem a dneškem nezhoršila – tudíž jste měl od začátku předpokládat, že mají heslo uložené v otevřeném tvaru, a dnes se vám to jen potvrdilo.

Já jsem vlastně rád, že pořád existují takové weby, které vám to heslo pošlou zpátky e-mailem. Aspoň to občas někoho probudí a dojde mu, že jakmile napíše heslo do prohlížeče, předal ho provozovateli příslušného webu. A že možná nechce své heslo k e-mailu sdílet se všemi weby, kam se přihlašuje (navíc tím e-mailem). Že možná vůbec nechce heslo k jednomu webu sdílet s jiným webem.

alex6bbc

  • *****
  • 1 673
    • Zobrazit profil
    • E-mail
Re:Zapomenuté heslo plaintextem v těle mailu
« Odpověď #2 kdy: 05. 08. 2024, 13:45:26 »
tak pak bych platil uz jedine hotove z ruky do ruky 😁

Re:Zapomenuté heslo plaintextem v těle mailu
« Odpověď #3 kdy: 05. 08. 2024, 14:41:17 »
Já mám osypky z toho, že někdo sdělí e-shopu heslo, a pak se diví, že e-shop to heslo zná.

Jakmile někomu heslo sdělíte, musíte počítat s tím, že to heslo zná, má ho někde uložené (i když třeba omylem) a to heslo může uniknout. Takže používejte správce hesel, unikátní heslo pro každý systém – a pak bude jedno, jak to heslo mají uložené.



Ano, vím o tom, že se říká, že by systém měl to heslo hashovat. Ale tady se bavíme o pohledu uživatele, ne provozovatele systému.

Jako uživatel nemáte šanci zjistit, zda provozovatel zachází s hesly bezpečně. Tady je jasné, že má hesla uložená v otevřeném tvaru. Ale kdyby vám ten e-mail s heslem neposlali, budou mít hesla uložená pořád stejně. Bezpečnost toho e-shopu se mezi včerejškem a dneškem nezhoršila – tudíž jste měl od začátku předpokládat, že mají heslo uložené v otevřeném tvaru, a dnes se vám to jen potvrdilo.

Já jsem vlastně rád, že pořád existují takové weby, které vám to heslo pošlou zpátky e-mailem. Aspoň to občas někoho probudí a dojde mu, že jakmile napíše heslo do prohlížeče, předal ho provozovateli příslušného webu. A že možná nechce své heslo k e-mailu sdílet se všemi weby, kam se přihlašuje (navíc tím e-mailem). Že možná vůbec nechce heslo k jednomu webu sdílet s jiným webem.

Zajímavá dedukce 🤔 nikde nepíšu, že bych tam nepoužil unikátní heslo 🤷‍♂️

Pro přístupny nepoužívám jeden mail a už vůbec neopakuji žádná hesla. Takže v tomhle směru mi to je “jedno”. Spíš mě udivuje způsob jejich řešení…

Re:Zapomenuté heslo plaintextem v těle mailu
« Odpověď #4 kdy: 05. 08. 2024, 15:57:08 »
Zajímavá dedukce 🤔 nikde nepíšu, že bych tam nepoužil unikátní heslo 🤷‍♂️
Však já jsem také nikde nepsal, že vy nepoužíváte unikátní heslo.

Spíš mě udivuje způsob jejich řešení…
Ono je to implementačně nejjednodušší řešení. A je férové – nepředstírá to, že provozovatel webu vaše heslo nezná. Upřímně: kdybyste jim to nahlásil a oni by vám po nějaké době odpověděli, že už to vyřešili – věřil byste, že ta nová implementace je nějak zásadně lepší?