Polityka haseł

Tu zgłaszamy wszystkie sprawy do Adminów i Moderatorów tego forum.

Moderator: luk4s7

drnostromo
Posty: 54
Rejestracja: 30 lis 2018, 23:34

Polityka haseł

Post autor: drnostromo »

Jak można przesłać hasło w postaci jawnej na maila?!
Takie coś to jest zbrodnia na polityce bezpieczeństwa by admin.

Awatar użytkownika
Mirekk
Klubowicz
Posty: 665
Rejestracja: 12 wrz 2017, 21:46
Auto: KZJ95, A6 Allroad
Kontakt:

Re: Polityka haseł

Post autor: Mirekk »

Tak się zastanawiam, a jak byś to zrobił inaczej?

Kiedys dostałem maila z portalu, gdzie hasło było w formie niejawnej. Napisali tak:
Your pasword: ******

Nie pasowało. ;)

Awatar użytkownika
luk4s7
Moderator
Posty: 3389
Rejestracja: 15 gru 2013, 23:32
Auto: Kiedyś znowu pewnie LC
Kontakt:

Re: Polityka haseł

Post autor: luk4s7 »

Hasło w formie teksty przesłane na maila służy temu aby je odczytać, zalogować się i od razu zmienić. Jeśli ktoś nie zmieni to jakby sam jest sobie winien.

A może ja czegoś nie wiem? Bo widziałem już sytuacje w których "dla bezpieczeństwa" po każdej zmianie hasła jest ono dodatkowo wysyłane zwykłym mailem. Tutaj, jeśli dobrze pamiętam, nie ma takiego mechanizmu.

drnostromo
Posty: 54
Rejestracja: 30 lis 2018, 23:34

Re: Polityka haseł

Post autor: drnostromo »

Zazwyczaj się to robi tak, że hasło które wpisał użytkownik NIGDY nie jest wysyłane do użytkownika na maila.
Czasami jest wysyłane do niego hasło wygenerowane przez system i wtedy użytkownik ma opcję podczas
logowania je zmienić lub olać i zostawić. Natomiast możliwość odczytania przez osoby trzecie tego co użytkownik wpisał
w polu password jest moim skromnym zdaniem niedopuszczalna. Podobny numer kiedyś wywineli mi w księgarni internetowej
i spalili mi piękne hasło dranie.

Admin powinien mieć jedynie możliwość porównanie hash-codu hasła.
W Linuxach nawet nie widać ile *** ma hasło a jokoś wszyscy się logują i pamietają co wcześniej wpisali przy tworzeniu konta,
nikt nikomu niczego nie przypomina.

Odpowiadając na pytanie jak inaczej - do użytkownika wysyła się autogenerowane hasło (wtedy nie prosimy go przy rejestracji
o wymyślenie hasła), natomiast przekierowuje sie go na zakładkę zmień hasło przy pierwszym logowaniu.

Wybaczcie ale jakoś tak na tym punkcie jestem szczególnie przewrażliwiony.

Awatar użytkownika
kpeugeot
Klubowicz
Posty: 2506
Rejestracja: 24 cze 2009, 06:52
Auto: Taro(hilux) 3.0 V6
lj70 2LTII r1986
LJ78 2LT EFI 1991
Kontakt:

Re: Polityka haseł

Post autor: kpeugeot »

Ale oni nie przesłali dotychczasowego hasła tylko nowe zmienione przez system

Awatar użytkownika
rolkos
Klubowicz
Posty: 2063
Rejestracja: 21 lis 2015, 15:24
Auto: FJ Cruiser, 4Runner
Kontakt:

Re: Polityka haseł

Post autor: rolkos »

Generalnie używanie tego samego hasła w wielu miejscach jest zasady złą praktyką. Więc nie musisz się martwić. Druga sprawa to jest taki mechanizm na TLC że wysyła hasło ustawione przez użytkownika? Jak dotąd dostawałem tylko hasło tymczasowe.

Awatar użytkownika
luk4s7
Moderator
Posty: 3389
Rejestracja: 15 gru 2013, 23:32
Auto: Kiedyś znowu pewnie LC
Kontakt:

Re: Polityka haseł

Post autor: luk4s7 »

rolkos pisze:Generalnie używanie tego samego hasła w wielu miejscach jest zasady złą praktyką. Więc nie musisz się martwić. Druga sprawa to jest taki mechanizm na TLC że wysyła hasło ustawione przez użytkownika? Jak dotąd dostawałem tylko hasło tymczasowe.
Przyłączam się do sugestii dot. różnych haseł do różnych systemów. Polecam również krótki poradnik https://www.sans.org/sites/default/file ... 704_po.pdf

Co do mechanizmu wysyłania hasła przez forum - opisz dokładnie co zrobiłeś i które hasło otrzymałeś (tymczasowe czy własne, które sam ustawiłeś).

drnostromo
Posty: 54
Rejestracja: 30 lis 2018, 23:34

Re: Polityka haseł

Post autor: drnostromo »

Tak, macie rację - nie używa się tych samych haseł etc. :)

Dziękuję za link do poradnika, wezmę sobie to do serca co tam napisano.
opisz dokładnie co zrobiłeś
Wypełniłem formularz na którym nie było napisane "hasło tymczasowe".
Obrazek
Chwilę poczekałem i przyszło ... tylko o zgrozo wszystko co wpisałem.

Awatar użytkownika
zombi
Posty: 704
Rejestracja: 17 mar 2014, 20:48
Auto: kzj95

Re: Polityka haseł

Post autor: zombi »

Ochrona haseł ważna sprawa, czasami robi się niezłe szopki aby je ochronić. Niektóre hasła i nazwy kont wpisuję tylko na osobnym komputerze z którego na tak szacowną stronę jak ta nie wchodzę. Ale zachowajmy umiar i dobierajmy środki do ryzyka. Że co? teraz admin żeby udowodnić że jest prawdziwym Adminem wprowadzi weryfikacje dwuetapowa, hasło minimum 16 znaków, wymuszenie zmian co 20 dni itd.

Bo co włamie się ktoś na moje konto i napisze że kolega XXX jest głupim palantem czy nie daj Boże naubliża prezesowi jakiś partii i mnie zamkną :D

ODPOWIEDZ