Citat:
Ursprungligen postat av Johnny Viking
En rent tekniskt lagd kommentar gällande lösenordet som skickas via mail.
Är det inte bara så att systemet, efter ett godkänt lösenord matats in och validerats, skickar ett mail i samma veva som bekräftelse på att man lyckats skriva ett lösenord som accepterats?
Detta i sig måste ju inte betyda att lösenordet lagras i klartext någonstans.
|
Om du läser trådstarten igen så är det i en lösenordsåterställnigsförfrågan i efterhand som han får lösenordet i klarttext i sitt mail. Det betyder att det antingen lagras i klartext(mest troligt) eller att de använder en tvåvägskyptering.
Citat:
Ursprungligen postat av Johnny Viking
Personligen, i ett av mina system, så låter jag inte ens kunden skriva ett lösenord utan dom får ett genererat sådant som även mailas ut till den registrerade mailen och sen lagras krypterat med bcrypt i databasen.
|
Jag ogillar verkligen när mina lösenord skickas via mail vilket är helt okrypterat över internet och lagras i klartext på flera ställen(både utgående mailserver och mottagande mailserver) på vägen så jag tycker inte att det här är en bra lösning. Om jag får ett autogenererat lösenord måste jag direkt gå in och ändra det.
Det är en mycket bättre lösning än många andra, men personligen gillar jag det inte.