Polityka haseł
Moderator: luk4s7
-
- Posty: 54
- Rejestracja: 30 lis 2018, 23:34
Polityka haseł
Jak można przesłać hasło w postaci jawnej na maila?!
Takie coś to jest zbrodnia na polityce bezpieczeństwa by admin.
Takie coś to jest zbrodnia na polityce bezpieczeństwa by admin.
Re: Polityka haseł
Tak się zastanawiam, a jak byś to zrobił inaczej?
Kiedys dostałem maila z portalu, gdzie hasło było w formie niejawnej. Napisali tak:
Your pasword: ******
Nie pasowało.
Kiedys dostałem maila z portalu, gdzie hasło było w formie niejawnej. Napisali tak:
Your pasword: ******
Nie pasowało.
Re: Polityka haseł
Hasło w formie teksty przesłane na maila służy temu aby je odczytać, zalogować się i od razu zmienić. Jeśli ktoś nie zmieni to jakby sam jest sobie winien.
A może ja czegoś nie wiem? Bo widziałem już sytuacje w których "dla bezpieczeństwa" po każdej zmianie hasła jest ono dodatkowo wysyłane zwykłym mailem. Tutaj, jeśli dobrze pamiętam, nie ma takiego mechanizmu.
A może ja czegoś nie wiem? Bo widziałem już sytuacje w których "dla bezpieczeństwa" po każdej zmianie hasła jest ono dodatkowo wysyłane zwykłym mailem. Tutaj, jeśli dobrze pamiętam, nie ma takiego mechanizmu.
-
- Posty: 54
- Rejestracja: 30 lis 2018, 23:34
Re: Polityka haseł
Zazwyczaj się to robi tak, że hasło które wpisał użytkownik NIGDY nie jest wysyłane do użytkownika na maila.
Czasami jest wysyłane do niego hasło wygenerowane przez system i wtedy użytkownik ma opcję podczas
logowania je zmienić lub olać i zostawić. Natomiast możliwość odczytania przez osoby trzecie tego co użytkownik wpisał
w polu password jest moim skromnym zdaniem niedopuszczalna. Podobny numer kiedyś wywineli mi w księgarni internetowej
i spalili mi piękne hasło dranie.
Admin powinien mieć jedynie możliwość porównanie hash-codu hasła.
W Linuxach nawet nie widać ile *** ma hasło a jokoś wszyscy się logują i pamietają co wcześniej wpisali przy tworzeniu konta,
nikt nikomu niczego nie przypomina.
Odpowiadając na pytanie jak inaczej - do użytkownika wysyła się autogenerowane hasło (wtedy nie prosimy go przy rejestracji
o wymyślenie hasła), natomiast przekierowuje sie go na zakładkę zmień hasło przy pierwszym logowaniu.
Wybaczcie ale jakoś tak na tym punkcie jestem szczególnie przewrażliwiony.
Czasami jest wysyłane do niego hasło wygenerowane przez system i wtedy użytkownik ma opcję podczas
logowania je zmienić lub olać i zostawić. Natomiast możliwość odczytania przez osoby trzecie tego co użytkownik wpisał
w polu password jest moim skromnym zdaniem niedopuszczalna. Podobny numer kiedyś wywineli mi w księgarni internetowej
i spalili mi piękne hasło dranie.
Admin powinien mieć jedynie możliwość porównanie hash-codu hasła.
W Linuxach nawet nie widać ile *** ma hasło a jokoś wszyscy się logują i pamietają co wcześniej wpisali przy tworzeniu konta,
nikt nikomu niczego nie przypomina.
Odpowiadając na pytanie jak inaczej - do użytkownika wysyła się autogenerowane hasło (wtedy nie prosimy go przy rejestracji
o wymyślenie hasła), natomiast przekierowuje sie go na zakładkę zmień hasło przy pierwszym logowaniu.
Wybaczcie ale jakoś tak na tym punkcie jestem szczególnie przewrażliwiony.
- kpeugeot
- Klubowicz
- Posty: 2518
- Rejestracja: 24 cze 2009, 06:52
- Auto: Taro(hilux) 3.0 V6
lj70 2LTII r1986
LJ78 2LT EFI 1991 - Kontakt:
Re: Polityka haseł
Ale oni nie przesłali dotychczasowego hasła tylko nowe zmienione przez system
Re: Polityka haseł
Generalnie używanie tego samego hasła w wielu miejscach jest zasady złą praktyką. Więc nie musisz się martwić. Druga sprawa to jest taki mechanizm na TLC że wysyła hasło ustawione przez użytkownika? Jak dotąd dostawałem tylko hasło tymczasowe.
Re: Polityka haseł
Przyłączam się do sugestii dot. różnych haseł do różnych systemów. Polecam również krótki poradnik https://www.sans.org/sites/default/file ... 704_po.pdfrolkos pisze:Generalnie używanie tego samego hasła w wielu miejscach jest zasady złą praktyką. Więc nie musisz się martwić. Druga sprawa to jest taki mechanizm na TLC że wysyła hasło ustawione przez użytkownika? Jak dotąd dostawałem tylko hasło tymczasowe.
Co do mechanizmu wysyłania hasła przez forum - opisz dokładnie co zrobiłeś i które hasło otrzymałeś (tymczasowe czy własne, które sam ustawiłeś).
-
- Posty: 54
- Rejestracja: 30 lis 2018, 23:34
Re: Polityka haseł
Tak, macie rację - nie używa się tych samych haseł etc.
Dziękuję za link do poradnika, wezmę sobie to do serca co tam napisano.
Chwilę poczekałem i przyszło ... tylko o zgrozo wszystko co wpisałem.
Dziękuję za link do poradnika, wezmę sobie to do serca co tam napisano.
Wypełniłem formularz na którym nie było napisane "hasło tymczasowe".opisz dokładnie co zrobiłeś
Chwilę poczekałem i przyszło ... tylko o zgrozo wszystko co wpisałem.
Re: Polityka haseł
Ochrona haseł ważna sprawa, czasami robi się niezłe szopki aby je ochronić. Niektóre hasła i nazwy kont wpisuję tylko na osobnym komputerze z którego na tak szacowną stronę jak ta nie wchodzę. Ale zachowajmy umiar i dobierajmy środki do ryzyka. Że co? teraz admin żeby udowodnić że jest prawdziwym Adminem wprowadzi weryfikacje dwuetapowa, hasło minimum 16 znaków, wymuszenie zmian co 20 dni itd.
Bo co włamie się ktoś na moje konto i napisze że kolega XXX jest głupim palantem czy nie daj Boże naubliża prezesowi jakiś partii i mnie zamkną
Bo co włamie się ktoś na moje konto i napisze że kolega XXX jest głupim palantem czy nie daj Boże naubliża prezesowi jakiś partii i mnie zamkną