Citat:
|
Angående lösenord så tänkte jag kolla vem som skickade det till dig i klartext i ett e-mail eftersom jag själv inte kan ge ut några lösenord utan bara användarnamn för säkerhets skäl.
|
Problemet var väl inte att det skickades i klartext i sig, utan att det gick att få fram det i klartext överhuvudtaget.
Lösenord ska sparas hashade och saltade om det inte finns en väldigt bra anledning att göra på annat sätt. Hashade starka lösenord går i praktiken inte att göra om till klartext och därför måste ett nytt lösenord genereras om användaren har glömt lösenordet.
Om en användare har glömt lösenordet och får det gamla lösenordet bevisar det att lösenorden inte hanteras på ett säkert sätt.