Senden von Benutzername und Passwort per E-Mail nach der Benutzerregistrierung in der Webanwendung

Question

Was ist Ihre Meinung über das Senden des Benutzernamens und des Kennworts an ihre E-Mail-Adresse, wenn sie sich auf unserer Website registrieren... auf diese Weise, wenn sie das Kennwort in der Zukunft vergessen, können sie es in ihrer E-Mail nachschlagen... außerdem müssen wir das Szenario "Kennwort vergessen/zurücksetzen" nicht einführen (wir stehen kurz vor der Veröffentlichung).

Ist dieser Ansatz sicher genug?

2. Meine zweite Frage ist, dass im Grunde auf unserer Website, der Benutzer füllt bestimmte Formulare und geben Sie einige Informationen wie ihren Namen, Adresse, Telefonnummer, Einkommen Informationen und solche persönlichen Informationen..am Ende, wenn sie den Antrag einreichen, sind wir denken, per E-Mail an sie eine Zusammenfassung all dieser Informationen wie ihr Name, Adresse usw., so dass sie es für ihre Aufzeichnungen haben.

Ist das in Ordnung sicher genug was sind die Bedenken?

Answer 1

Senden Sie niemals ein Passwort oder andere vertrauliche Informationen im Klartext. Das gilt auch für E-Mails. Außerdem sollten Sie so wenig wie möglich davon in einem wiederherstellbaren Format speichern. Unverschlüsselte Kommunikation, insbesondere E-Mail, ist leicht zu manipulieren, und Sie wollen nicht, dass die falschen Leute an Passwörter gelangen.

Wenn möglich:

• Speichern Sie Ihre Kennwörter in einem gesalzenen Hash, so dass der ursprüngliche Text nicht wiederhergestellt werden kann und somit auch nicht durch einen Brute-Force-Angriff zu knacken ist. Wenn der Benutzer sein Passwort vergisst, muss er es zurücksetzen und ein vorläufiges Passwort senden (das er erforderlich zu ändern) oder einen Bestätigungslink (der wiederum zur Eingabe eines neuen Passworts auffordert) per E-Mail.

• Versenden Sie niemals sensible Daten per E-Mail; wenn der Nutzer Informationen benötigt, sollten Sie ihn auf Ihre Website schicken, um sie zu erhalten. Sie verwenden doch HTTPS, oder?

Answer 2

Häufig werden Passwörter auf verschiedenen Websites gemeinsam genutzt. Sie sollten also davon ausgehen, dass dasselbe Passwort auch für das Online-Banking des Kunden verwendet wird, und Sie sollten es niemals per E-Mail verschicken oder dem Kunden (der sich als solcher ausgibt) die Möglichkeit geben, es abzurufen.

Es ist in Ordnung, ihnen eine Bestätigungs-E-Mail mit ihrem Benutzernamen zu schicken - das ist nützlich.

Denken Sie daran: Wenn Sie ihnen ihr Passwort per E-Mail zusenden, vergessen sie diese E-Mail wahrscheinlich oder löschen sie einfach. Sie brauchen also ohnehin einen weiteren Mechanismus zum Zurücksetzen des Passworts.

Der beste Weg, mit dem Fall "vergessenes Passwort" umzugehen, besteht darin, dass der Benutzer Sie auffordert, ihm per E-Mail einen Link zu schicken; wenn er auf den Link klickt, können Sie ihm erlauben, ein neues Passwort einzugeben.

Persönliche Informationen (Adresse, Einkommen usw.): por qué Würde irgendjemand wollen, dass man ihm das schickt? Sie wissen es bereits! Sie senden einfach nur private Daten unverschlüsselt über das Internet, und das ohne Grund.

Answer 3

Als Faustregel würde ich sagen: Wenn es für Sie in Ordnung ist, es auf eine Postkarte zu schreiben und per Post zu versenden, dann ist es auch in Ordnung für eine Standard-E-Mail. Ich denke nicht, dass Einkommensinformationen für die meisten Menschen in diese Kategorie fallen.

Was die Passwörter betrifft, so können sie, wenn sie sich nicht an sie erinnern können, die E-Mail, die Sie ihnen mit dem Passwort geschickt haben, nicht finden, und es ist ein Eingeständnis, dass sie es im Klartext gespeichert haben. Ich würde das vermeiden und ihnen die Möglichkeit geben, das Passwort zurückzusetzen - das brauchen sie sowieso.

Answer 4

Wenn Sie Informationen per E-Mail versenden, es wird nicht sicher sein . Es gibt zu viele Möglichkeiten, wie jemand es bekommen kann. Für einen geschickten Hacker wäre es ein Kinderspiel, Ihre Daten zu stehlen.

Verzichten Sie auf die Übermittlung persönlicher Informationen wie Passwörter und Einkommensinformationen per E-Mail, da es für Sie und Ihr Unternehmen sehr unangenehm werden kann, wenn solche Informationen durchsickern oder gestohlen werden. Denken Sie ernsthaft über Sicherheit nach. Es braucht nur diesen einen Vorfall, damit alle Steine fallen.

Was das Abrufen von Passwörtern angeht, lesen Sie bitte sorgfältig Best Practices für vergessene Passwörter .

Das Fazit ist, dass eine Bewerbung Best Practices befolgt, erlauben sollte dass ein Benutzer sein eigenes Passwort zurücksetzen kann. Es sollten persönliche Sicherheitsfragen verwendet werden. Die Anwendung sollte keine E-Mails versenden E-Mail senden, Passwörter anzeigen und keine temporäre Passwörter setzen.

EDIT: Aktualisierter Link...

Answer 5

Ich sage den Leuten, dass sie E-Mails wie Postkarten betrachten sollen - ein Angestellter eines jeden Unternehmens, das sie zwischen dem Absender und dem Empfänger bearbeitet, kann sie lesen.