it-swarm-eu.dev

Je odesílání hesla do e-mailu uživatele bezpečné?

Jak bezpečné je odesílání hesel prostřednictvím e-mailu uživateli, protože e-mail není zabezpečen pomocí protokolu HTTPS.

Jaký je nejlepší způsob, jak to zajistit? Mám používat šifrování?

102
user310291

Měli byste nikdy zasílat hesla do paměti a neměli byste je ukládat do paměti. Měli byste je hash používat pomalým jednosměrným kryptografickým hashem, jako je bcrypt nebo PBKDF2. Pokud uživatel zapomene své heslo, nabídnete mu funkci „reset hesla“, která na jeho účet odešle jednorázový resetovací odkaz.

Schéma, jako je následující, je přiměřená:

  • Vymažte všechna hesla pomocí sůl plus bcrypt/PBKDF2. Viz moje zdůvodnění zde . (Úpravy, březen 2019: použijte Argon2 )
  • Po přihlášení ověřte hash.
  • Pokud uživatel zapomene své heslo, pošlete mu zabezpečený jednorázový resetovací odkaz pomocí náhodně vygenerovaného resetovacího tokenu uloženého v databázi. Token musí být jedinečný a tajný, takže hash token v databázi a porovnat jej při použití odkazu.
  • Vynutit, aby token mohl být použit pouze k obnovení hesla uživatele, který o něj požádal.
  • Jakmile je použit token, musí být odstraněn z databáze a nesmí být povoleno opětovné použití.
  • Po krátkém čase vyprší platnost všech tokenů shodných s hesly, včetně resetovacích tokenů, např. 48 hodin. To zabrání útočníkovi, aby později nevyužité tokeny zneužil.
  • Okamžitě zobrazte formulář, který uživateli umožní nastavit nové heslo. Nepoužívejte dočasná náhodně generovaná hesla!
  • To vše pomocí SSL.

Velmi doporučuji, abyste si přečetli Definitivní průvodce ověřováním webových stránek založeného na formulářích , kde najdete celou řadu pokynů, jak vytvořit bezpečné přihlašovací systémy.

156
Polynomial

E-mail není bezpečný. Zaslání hesla e-mailem je tedy bezpečnostním rizikem. Aby se riziko snížilo, můžete (v některých situacích) nastavit, aby heslo zaslané e-mailem bylo jednorázové heslo, které uživateli pouze odemkne možnost zvolit si nové vlastní heslo.

To je to, co dobré systémy pro zapomenuté-moje-heslo-pro-tento-web fungují: uživatel klikne na tlačítko „zatraceně, zapomněl jsem své heslo“ a odešle se e-mail, který obsahuje adresu URL (s HTTPS) ), který vloží identifikátor náhodné relace, a odkazuje na stránku, která uživateli umožní zvolit nové heslo. URL is "jednorázové heslo". S tímto schématem můžete alespoň ze strany serveru vědět, kdy byla URL použita.

Pokud můžete provádět šifrování správně, tj. Pokud můžete odeslat zprávu OpenPGP nebo S/MIME zašifrovanou veřejným klíčem uživatele, pak uživatel pár soukromých/veřejných klíčů : v tom případě, proč byste vůbec používal hesla?

42
Thomas Pornin

Je špatnou praxí zasílat uživatelům hesla, protože by to znamenalo, že máte jasnou kopii uživatelského hesla.

Nevím o žádném dobrém důvodu. Existují další bezpečnější způsoby, jak dosáhnout toho, co je potřeba.

Pro obecnou odpověď ohledně zabezpečení e-mailu doporučujeme přečíst odkaz this , který obsahuje některé dobré informace.

Pokud MUSÍTE posílat citlivé informace e-mailem, použijte k zabezpečení dat schéma, jako je PGP nebo jiné šifrovací techniky.

22
user10211

Pokud máte na prvním místě „jasné heslo“ (kromě registračního procesu), děláte to špatně. Nikdy neukládejte heslo prostého textu! Spousta společností, jako je Sony Music a podobně, byla v poslední době vypálena .. a dovolte mi říct, že spotřebitelé nejsou šťastní.

4
Vaughan Hilts

E-mail s ohledem na předchozí příspěvky rozhodně není bezpečný a měli byste nikdy neposílat e-mailem žádná citlivá data , zejména hesla. Obzvláště proto, že nejsou šifrovány a jsou nalezeny v jasném textu, je pro každého velmi snadné proniknout do vašeho e-mailu a získat k nim přístup prostřednictvím veřejné sítě.

Pokud máte vy nebo váš klient potíže se zapamatováním svých hesel, měli byste použít bezpečného správce hesel. Toto je web, který obsahuje seznam vašich hesel v kompletně šifrovaném trezoru. Dobré jsou KeePass nebo LastPass.

Pokud jste společnost, která se pokouší zaslat klientům své heslo znovu, měli byste si nastavit bezpečnostní otázky, na které zákazníci odpoví, když si nejprve vytvoří svůj účet. Pokud na to zapomenou, mohou kliknout na odkaz, který je pošle, aby na tyto otázky odpověděl správně a resetoval své heslo.

Podle vašich vědomostí se jedná o informativní blog, který umožňuje šifrování a varuje před použitím určitých hesel http://www.ziptr.com/blog-last-4-digits-ssn-password = od Ziptr.

3
Katie Campbell