4
在用戶註冊時向用戶發送密碼 - 在被服務器端代碼散列並存儲到數據庫之前,這是一個可怕的想法嗎?註冊時通過電子郵件發送密碼
A
回答
4
如果是用戶輸入,是的,這是一個壞主意。電子郵件是未加密的,可以在郵件服務器和他們的郵件服務器之間傳輸,也可以通過訪問兩臺服務器的人閱讀。
如果是一次性臨時密碼,則風險較小,因爲之後不久應該更改密碼。
1
我會通過電子郵件發送給他們一個臨時密碼,然後要求他們在首次登錄時進行更改。在用戶有機會之前,授予某人可以改變它。
0
我的意見是這樣的。
選項1 - 如果用戶選擇他的密碼,請勿郵寄。
選項2 - 如果您生成密碼,發送給用戶,有一個鏈接來激活他的帳戶和更改密碼。
取決於用戶註冊的內容,每個選項都可以使用。
1
最好不要,因爲如果用戶指定了不正確的電子郵件地址,其他人可以使用他們的信息登錄。
另外,如果您至少沒有使用用於註冊的密碼登錄至少一次,您可以通過不允許重置密碼來更安全。
1
答案的一部分取決於您認爲您的證書需要的安全程度。如果您是銀行或任何其他處理PII的網站,那絕對是一個可怕的想法。但是如果你認爲在破解網站方面沒有真正的回報,那麼你可以自行決定。從安全角度來看,這絕對不是一個好主意,但是如果有組織因素(例如預算或遺留代碼)可能會將您帶入這樣一個角落,那麼您可以考慮它。
此外,我完全同意其他人的答覆,如果他們選擇了這些人,他們會回答建議不要發送用戶密碼。這是一個不必要的潛在安全漏洞!
相關問題
- 1. 通過電子郵件發送密碼
- 2. 忘記密碼發送到Android的註冊電子郵件
- 3. 密碼恢復,而不通過電子郵件發送密碼
- 4. Django用戶註冊 - 通過電子郵件重置密碼
- 5. 註冊時發送確認郵件到電子郵件
- 6. WAP,CreateUserWizard控件,通過電子郵件發送密碼
- 7. 如何通過電子郵件發送密碼?
- 8. 通過電子郵件發送密碼給用戶
- 9. 使用安全密碼通過Powershell發送電子郵件
- 10. 發送忘記密碼電子郵件
- 11. 在drupal註冊時通過電子郵件發送的一次性登錄
- 12. ion_auth:用戶註冊時觸發發送電子郵件
- 13. TeamCity:向非註冊用戶發送電子郵件通知
- 14. 如何自動發送電子郵件給客戶註冊碼?
- 15. 在asp.net發送電子郵件發送密碼而不是電子郵件
- 16. 如何在註冊後發送用戶名和密碼到電子郵件ID
- 17. 通過電子郵件發送文件
- 18. 通過電子郵件臨時密碼重置密碼
- 19. 通過電子郵件Django密碼Resest
- 20. 使用密碼加密文件以通過電子郵件發送python
- 21. Node.js - 在註冊時發送電子郵件
- 22. 註冊Register.aspx.cs時未發送確認電子郵件
- 23. 如何在註冊時發送Firebase電子郵件確認?
- 24. Codeigniter在註冊時自動發送歡迎電子郵件
- 25. 成功註冊時發送電子郵件
- 26. 當新用戶註冊時發送激活電子郵件
- 27. 在註冊時發送額外的電子郵件
- 28. ASP.NET通過電子郵件發送給多個電子郵件
- 29. GAS幫助 - 通過電子郵件發送電子郵件
- 30. 如何通過電子郵件發送電子郵件地址
不錯的主意。你可以檢查IP。如果激活與註冊時不同,可能會出現問題。 – Atmocreations 2011-05-26 20:07:02