Citat:
Ursprungligen postat av BjörnJ
Problemet var väl inte att det skickades i klartext i sig, utan att det gick att få fram det i klartext överhuvudtaget.
Lösenord ska sparas hashade och saltade om det inte finns en väldigt bra anledning att göra på annat sätt. Hashade starka lösenord går i praktiken inte att göra om till klartext och därför måste ett nytt lösenord genereras om användaren har glömt lösenordet.
Om en användare har glömt lösenordet och får det gamla lösenordet bevisar det att lösenorden inte hanteras på ett säkert sätt.
|
Detta var precis vad jag syftade på i mitt inlägg...
Kan du höra vad dina utvecklare har att säga om saken PJO?
Jag begärde alltså mina inloggningsuppgifter via "glömt lösenord"-funktionen på sidan.