在用户通过服务器端代码进行哈希处理并将其存储到数据库之前,通过电子邮件向用户发送密码是一个可怕的想法吗?
答案 0 :(得分:4)
如果是用户输入的,是的,这是一个坏主意。电子邮件是未加密的,可以在您的邮件服务器和他们的邮件服务器之间传输,也可以被访问这两个服务器的人读取。
如果是一次性临时密码,则风险较小,因为他们应该在不久之后更改密码。
答案 1 :(得分:1)
我会通过电子邮件向他们发送临时密码,然后要求他们在首次登录时进行更改。有人可以在用户有机会之前改变它。
答案 2 :(得分:1)
最好不要,因为如果用户指定了错误的电子邮件地址,其他人可以使用他们的信息登录。
此外,如果您没有使用用于注册的密码登录至少一次,则可以通过不允许重置密码来提高安全性。
答案 3 :(得分:1)
部分答案取决于您认为您的凭据需要多么安全。如果您是银行或任何其他处理PII的网站,那么这绝对是一个糟糕的主意。但是,如果您认为破解网站没有真正的回报,那么您可以自行决定。从安全角度来看,这绝对不是一个好主意,但是如果有预算或遗留代码等组织因素可能会让您陷入困境,那么您可以考虑它。
此外,我完全同意其他人的建议,如果他们选择了密码,建议不要向用户发送密码。这是一个不必要的潜在安全漏洞!
答案 4 :(得分:0)
我的意见是这样。
选项1 - 如果用户选择了密码,请不要邮寄。
选项2 - 如果您生成密码,请发送给用户,拥有指向其帐户的活动链接并更改密码。
取决于用户注册的内容,可以使用每个选项。