senden von Benutzername und Kennwort durch E-Mail nach Benutzer-Registrierung in der web-Anwendung
Was ist Ihre Meinung zu senden den Benutzernamen und das Passwort zu Ihrem E-Mail-Adresse, wenn Sie sich auf unserer website registrieren..auf diese Weise, wenn Sie das Kennwort vergessen haben in der Zukunft, Sie können schauen Sie in Ihrem E-Mail - ...auch wir gewohnt haben, um implent das vergessen/Passwort zurücksetzen-Szenario (wir sind nah an Freigabe)..
ist dieser Ansatz sicher genug?
- Meine zweite Frage ist, dass im Grunde auf unserer Seite, der Benutzer füllt einige Formulare aus und geben Sie einige Informationen wie Ihr name, Adresse, Telefonnummer, Einkommen, Daten und persönliche Informationen..am Ende, wenn Sie den Antrag, denken wir von Ihnen eine E-Mail eine Zusammenfassung all dieser Informationen, wie name, Adresse etc, damit Sie es für Ihre Unterlagen..
ist das ok..sicher genug..was sind die Anliegen
InformationsquelleAutor der Frage | 2009-07-01
Du musst angemeldet sein, um einen Kommentar abzugeben.
Senden Sie niemals ein Kennwort oder andere sensible Daten im Klartext. Das schließt e-mail. Sie sollten auch speichern so wenig wie möglich in einem erzielbaren format. Unverschlüsselte Kommunikation, insbesondere e-mail, ist es leicht manipuliert, und Sie nicht möchten, dass die falschen Leute bekommen die an Passwörter.
Wenn möglich:
Speichern Sie Ihre Passwörter in einer gesalzenen hash, so dass der ursprüngliche text nicht wiederhergestellt werden kann, und somit unzerbrechlich durch nichts geringeres als eine brute-force-Angriff. Wenn der Benutzer vergisst sein Passwort, machen Sie es zurücksetzen und senden Sie ein temporäres Passwort (die Sie erforderlich ändern Sie nach der Anmeldung) oder eines Bestätigungs-link (die, wieder, werden Sie aufgefordert, ein neues Passwort) per e-mail.
Senden nie etwas empfindlich via e-mail, wenn der Benutzer benötigt Informationen, um die Sie gehen, um Ihre Website zu erhalten. Sie HTTPS verwenden, richtig?
InformationsquelleAutor der Antwort Noah Medling
Meine Faustregel wäre - wenn Sie OK sind, schreiben Sie es auf eine Postkarte und senden es per post, dann ist es OK für standard-E-Mail. Ich glaube nicht, dass Einkommen Informationen fallen in diese Kategorie für die meisten Menschen.
Als für Passwörter, wenn Sie sich nicht erinnern kann, Sie in den ersten Platz, Sie gewannen ' T werden in der Lage zu finden, die E-Mail, die Sie geschickt mit dem Passwort, und es ist ein Eingeständnis der Lagerung im klaren. Ich würde es vermeiden und Ihnen die Möglichkeit zu geben zurückgesetzt - Sie müssen das sowieso.
InformationsquelleAutor der Antwort towardus
Menschen erzählen oft, dass Kennwörter für Websites. Man sollte also davon ausgehen, das gleiche Passwort funktioniert für den Kunden online-banking, und Sie sollten nie senden Sie es per e-mail oder bieten eine Möglichkeit für (jemand, der vorgibt, zu sein) den Kunden, um es abzurufen.
Es ist in Ordnung, schicken Sie eine Bestätigungs-e-mail mit Ihrem Benutzernamen - das ist nützlich.
Denken Sie daran, wenn Sie per e-mail Ihr Passwort, die Sie wahrscheinlich vergessen, dass e-mail, oder löschen Sie es einfach. So benötigen Sie ein anderes Passwort-reset-Mechanismus sowieso.
Der beste Weg, um behandeln Sie die "Passwort vergessen" - Fall ist für den Benutzer zu verlangen, dass Sie e-mail der Nutzer einen link; wenn Sie auf den link klicken, können Sie Ihnen zu geben ein neues Kennwort ein.
Bezüglich der persönlichen Daten (Adresse, Einkommen etc.): warum würde jemand wollen, dass diese Mail an Sie? Sie wissen es schon! Du bist einfach nur zum verschicken von privaten Daten unverschlüsselt über das internet ohne Grund.
InformationsquelleAutor der Antwort user9876
Die Sorge ist definitiv in die Zusendung der E-Mail mit dem Passwort. Wenn es nicht ordnungsgemäß verschlüsselt ist, könnte jemand potentiell sniff die Pakete von der E-Mail gesendet und das Kennwort wiederherzustellen. Auch die person haben könnten gekaperte E-Mail-Konto. Wenn es nicht eine große Sache, wenn jemand Stiehlt das Passwort, dann können Sie nicht haben sorgen zu machen, aber sonst würde ich NICHT senden Sie keine Passwörter im Klartext per E-Mail.
Edit: Um auf Ihre zweite Frage, würde ich noch nicht einmal E-Mail. Ich würde stattdessen einen link zu senden, so dass Sie leicht sehen, Ihr Profil/Informationen beim log-in.
InformationsquelleAutor der Antwort AlbertoPL
Ich sagen, dass die Leute denken, der E-Mail-wie eine Postkarte-ein Mitarbeiter einer Firma, mit der es zwischen dem Absender und der Empfänger Sie Lesen kann.
InformationsquelleAutor der Antwort Randy Orrison
Wenn Sie die Zusendung von Informationen via E-Mail, es nicht sicher. Es gibt zu viele Möglichkeiten, jemandem bekommen können. Es wäre ein Kinderspiel für einen geübten hacker suchen Ihre Informationen zu stehlen.
Unterlassen senden alle persönlichen Informationen wie Passwörter und Einkommen Informationen über E-Mail kann es SEHR PEINLICH für Sie und Ihre Organisation, wenn solche Informationen geleakt wurde oder gestohlen wird. Denken Sie über das Thema Sicherheit sehr ernst. Es dauert halt, dass ein Vorfall, für all die Steine zu fallen.
Als für die Passwort-retrieval, gründlich Lesen Passwort Vergessen Best Practices.
EDIT: Link Aktualisiert...
InformationsquelleAutor der Antwort jinsungy
Meisten Unternehmen einfach nicht, die Benutzernamen-Passwort-Kombination aufgrund der Sicherheit des externen E-Mail-client. Die zahlen der Benutzer könnte brute-force-oder erraten das Passwort an die E-Mail-Konto von einem anderen Benutzer, die es erlauben würde, die hacker zum anzeigen der E-Mail von Ihrer Website. Dann der hacker könnte sich verheerend auf Ihrer Website als auch
InformationsquelleAutor der Antwort JuniorFlip
Ich würde sagen, bietet eine Passwort-vergessen-Funktion wird noch von Bedeutung sein, da nicht jeder wird garantiert, dass dort alle E-Mails (oder sogar in der Lage sein, finden Sie später)...
InformationsquelleAutor der Antwort davidsleeps
Ich Stimme mit der top-Antwort und habe dies hinzufügen: jedes mal, wenn ich Sie erhalten eine Anmelde-Bestätigung E-Mail mit meinen Passwort habe ich die E-Mail löschen und dringend in Erwägung ziehen, nie mit diesem web-Dienst erneut. Für mich zeigt es einen Mangel an Sicherheit & Datenschutz-Bewusstsein.
InformationsquelleAutor der Antwort Taj Moore
Ich habe drei Regeln bezüglich der Passwörter:
InformationsquelleAutor der Antwort mbillard
Wie bereits erwähnt in den Kommentaren, möchten Sie vielleicht Blick auf OpenID. Die sicherste Methode zum verwalten von Kennwörtern ist, um Sie zu beseitigen.
InformationsquelleAutor der Antwort Jon Galloway
Ich Baue eine Web-Anwendung zum senden von sensiblen Informationen per E-Mail. Es ist UI nicht perfekt, aber es ist wirklich sicher und funktioniert sehr gut.
Gibt es ein outlook-plugin, API zum Anschluss externer website und der WebSite.
Wird das Konzept der empfangenen Nachricht in Ihrer mailbox werden nicht im Klartext. Es ist eine HTML-E-Mail mit einem link. Sie müssen klicken Sie auf den link, um Zugriff auf den Inhalt der E-Mail. Wenn es auf eine Zeit, die Nachricht zu vernichten.
Der Meldung sind die Lager in einer verschlüsselten Datenbank auf unserer Seite. Sie können konfigurieren, dass ein Passwort, die es sind, wissen nur von den beiden Teil zu öffnen, die Meldung online, oder erhalten Sie ein Passwort (Zufällige 6-Nummer) per SMS.
Es ist sehr einfach zu implementieren API.
Es ist ein Beispiel
//https://www.secure-exchanges.com/API.aspx
InformationsquelleAutor der Antwort Cédric Boivin