Pytanie:
Konto użytkownika bez hasła
user181505
2018-07-04 20:36:39 UTC
view on stackexchange narkive permalink

Obecnie szukam pracy i czasami trafiam na witryny, które są po prostu ogromnymi bazami danych z pełnymi ofertami pracy i zanim złożysz podanie, musisz założyć konto. Trafiłem na witrynę, ale sceptycznie podchodzę do jej praktyk bezpieczeństwa.

Kiedy znalazłem ofertę pracy, na którą chciałem się zgłosić, poprosiłem o podanie adresu e-mail, więc go wpisałem. Wyskakujące okienko z prośbą o wznowienie i zwykłe informacje kontaktowe. Podałem, czego potrzebowałem, i wysłałem swoją aplikację.

Zauważyłem jednak, że używa ona mojego adresu e-mail i utworzyło konto użytkownika bez pytania mnie o hasło.

Natychmiast zostałem tym zaniepokojony, więc sprawdziłem swój e-mail myśląc, że strona dostarczyła mi tymczasowe hasło, które wymaga zmiany, tylko po to, aby odkryć, że muszę potwierdzić swój e- adres e-mail, a następnie zostanie wyświetlony monit o wprowadzenie hasła. Z mojego punktu widzenia miałem konto użytkownika bez hasła przez około 3-5 minut.

Czy słusznie postępowałem sceptycznie? Czy powinienem usunąć swoje konto?

To może brzmieć jak głupie pytanie, ale po co Ci hasło?Piszesz CV, które w większości przypadków jest informacją publiczną.(Jest wiele powodów, dla których warto taki mieć, ale jestem zainteresowany tym, czego szukasz).
@schroeder - Rozumiem, co mówisz, ale nigdy wcześniej nie widziałem takiej praktyki haseł.
Potrzebujesz ** [Jednorazowych wiadomości e-mail.] (Https://temp-mail.org/)! **
@C0deDaedalus - Nie myśl, że to dobry pomysł.Zwłaszcza biorąc pod uwagę, że jeśli ktoś zna mój adres e-mail, może poprosić o link do resetowania hasła i ukraść moje dane
Niektóre procedury aplikacji wymagają dużej ilości poufnych informacji, których nie chciałbym udostępniać wszystkim.
@styrofoamfly - Dokładnie, dlatego zawsze czuję się nieswojo z powodu witryn z ofertami pracy, które chcą, aby moje CV zostało przesłane dla * wygody *.Może mi to zaoszczędzić od czasu do czasu wypełniania kilku pól tekstowych, ale kto wie, co robią z moimi informacjami i jak są naprawdę przechowywane.Wolę aplikować bezpośrednio przez firmę niż przez stronę internetową.
@schroeder Przypuszczalnie konto umożliwia również _edycję_ CV.Nie wiem o tobie, ale nie chcę, aby ktokolwiek przeglądając moje CV mógł zmienić sekcję dotyczącą moich doświadczeń na „Butts Developer w Butts Incorporate. Butts: Butts Butts. (Kiedy się urodziłem - obecny)”.Twoja odpowiedź dotyczy tego, czy jest to rzeczywiście możliwe, ale jest to uzasadniona obawa - _ pojawiło się_ brak uwierzytelniania, co jest niezwykle niepokojące.
@NicHartley - nie próbowałem, ale to była jedna z moich obaw, gdy nie miałem hasła.Pamiętaj, że moje CV zawiera mój numer telefonu i adres, między tymi 3-5 minutami nie wiem, kto miał do niego dostęp, jeśli w ogóle.
Tego typu usługi prawdopodobnie nie * utworzą * Twojego konta, dopóki nie klikniesz łącza.Przechowują Twoje informacje tylko w celu ewentualnego późniejszego utworzenia konta.
Sześć odpowiedzi:
schroeder
2018-07-04 21:09:23 UTC
view on stackexchange narkive permalink

Tylko dlatego, że hasło nie zostało ustawione, nie oznacza, że ​​można uzyskać dostęp do konta. Nie widząc kodu, nie jestem pewien, ale możliwe, że nie możesz zalogować się na swoje konto, dopóki nie użyjesz linku w e-mailu do ustawienia hasła. Nadal korzystałeś z tego samego identyfikatora sesji, gdy nadal korzystałeś z witryny.

Czy to normalne?Nigdy wcześniej nie widziałem tego typu tworzenia kont
"normalna"?Nie. Ale widziałem to już wcześniej.
To wykracza poza zakres pytania, ale czy są jakieś badania, które pokazują, że ta konfiguracja hasła jest niepewna?Po prostu mi się to nie podoba, ale może dlatego, że nie znam dobrze bezpieczeństwa.
Wszystko zależy od tego, jak zostanie wdrożone.
Są przypadki, w których taki przepływ ma sens, ale to nie jest jeden z nich.
Nie ma w tym nic niepewnego.
Zgadzam się z @schroeder, ponieważ po kliknięciu linku, który otrzymujesz w mailu, to prosi o podanie hasła.Więc teraz musisz skupić się na pytaniu „Czy link, który otrzymałeś w e-mailu, jest przewidywalny?”Jeśli tak, to jest to błąd.
Widziałem konfiguracje, w których nigdy nie ustawiono stałego hasła;zamiast tego jednorazowe hasło było ustawiane przez e-mail przy każdym logowaniu.
@svavil Twój komentarz przypomina mi sposób, w jaki Slack robi rzeczy za pomocą swojego „magicznego linku e-mail” zamiast / jako alternatywa dla Twojego hasła (dla wygody)
To jest dość powszechne.Konto jest wyłączone, dopóki nie klikniesz łącza w wiadomości e-mail i nie podasz hasła.
Możliwe jest również, że chociaż konto nie było _wyłączone_, nie było również całkowicie włączone.Wymaganie wiadomości e-mail w celu weryfikacji nie jest rzadką praktyką, a witryna mogła pozwolić, powiedzmy, przesłać CV, ale nie modyfikować go, dopóki nie zweryfikujesz adresu e-mail.
@ConorMancone Jest to prawdą tylko wtedy, gdy masz pewność, że wiadomość e-mail została wysłana tylko przez bezpieczne kanały i ufasz każdemu przekaźnikowi między ich serwerem pocztowym a twoim.
Kolappan N
2018-07-05 11:09:54 UTC
view on stackexchange narkive permalink

Jako programista, który stworzył taki proces rejestracji użytkowników, mogę Cię zapewnić, że nie ma się czym martwić .

Trochę tła info

Kiedy podajesz swój adres e-mail, nie jest tworzone żadne konto użytkownika (tak, dobrze przeczytałeś). E-mail, łącze, czas wygaśnięcia i inne szczegóły są przechowywane. Po zweryfikowaniu adresu e-mail i wprowadzeniu hasła zostanie utworzone nowe konto użytkownika.

Po pewnym czasie, jeśli konto użytkownika nie zostanie zweryfikowane, wszystkie informacje dotyczące użytkownika zostaną usunięte.

Więc, co się tutaj stało, to zweryfikowanie Twojego adresu e-mail przed procesem rejestracji.

Dlaczego to się dzieje?

Zrobiliśmy to, aby uniknąć tworzenia fałszywych kont użytkowników. Zapobiega również przypadkowemu utworzeniu konta użytkownika powiązanego z Twoim adresem e-mail.

A teraz odpowiedz na Twoje pytania

Miałem rację być sceptycznym? Czy mam „usunąć” swoje konto?

Nie ma potrzeby usuwania Twojego konta. To rzadkie zachowanie, ale nie szkodliwe. To tylko dodatkowy środek bezpieczeństwa.

Martwiłem się tym bez powodu, ponieważ nigdy wcześniej nie widziałem tego typu rejestracji użytkownika.
@Sveta Przyznam, że nie sądziliśmy, że użytkownik może nabrać podejrzeń.Dziękuję też.Od teraz staram się zamieścić wiadomość dotyczącą tego na stronie internetowej.
Innym potencjalnym sposobem, w jaki może to zadziałać (robiłem to z innych powodów w przeszłości) jest ustawienie losowo generowanego hasła (oczywiście złożonego, 64 znaków lub cokolwiek innego), a następnie po potwierdzeniu e-mailem zasadniczo resetujesz hasło.
@KyleWardle - Tak się spodziewałem, losowe tymczasowe hasło, a nie tworzenie hasła po potwierdzeniu e-mailem.
@Sveta, że może się jeszcze wydarzyć, po prostu nigdy nie widziałeś tymczasowego hasła.Po `` utworzeniu '' konta można po prostu zastąpić stary skrót hasła nowym
Widziałem ten przepływ pracy od strony deweloperskiej iw tym przypadku konto nie zostało utrwalone w bazie danych kont, dopóki użytkownik nie potwierdził swojego adresu e-mail.Jeśli adres e-mail nie został potwierdzony w ustalonym okresie, oczekujące konto zostało usunięte wraz ze wszystkimi danymi osobowymi.
zrobiłem to samo, ale w moim przypadku było to spowodowane zmianą hasła przy pierwszym logowaniu, pomyślałem, że ludzie mogą wymyślić dobre hasło, ustawić je, a następnie muszą je zmienić (nie można używać tego samego hasła nigdy lubrzecz z ponad 60% podobieństwem sformułowania! - pojawianie się znaku).więc właśnie zrobiłem ten wzorzec i nie było pytania o hasło podczas tworzenia konta, a my po prostu pozwoliliśmy im je zmienić po pierwszym zalogowaniu się z hashem e-mail.
@KyleWardle Chociaż to, co powiedziałeś, jest powszechnym przepływem pracy (i naszą przeszłością), zmieniliśmy to celowo.Nie było żadnego rekordu w tabeli użytkowników skojarzonej z e-mailem przed potwierdzeniem.I chcemy, żeby tak zostało.Żadnego konta użytkownika, nawet niezweryfikowanego konta dla fałszywych e-maili (to jest cały cel tego przepływu pracy).Więc nie było ** konta użytkownika ani hasła tymczasowego skojarzonego z e-mailem przed potwierdzeniem ** i nie było zastąpienia skrótu hasła.Mam nadzieję, że to dostarczy więcej informacji.
elsadek
2018-07-04 22:21:07 UTC
view on stackexchange narkive permalink

Zauważyłem jednak, że użył mojego adresu e-mail i utworzył konto użytkownika bez pytania o hasło.

To podejście ma związek z zapewnieniem użytkownikom większa wygoda; chcą twojego CV i szczegółów, ale nie chcą zawracać ci głowy odgadywaniem hasła, więc po prostu zostawiają ci wybór, czy nie spiesz się z ustawieniem hasła, albo nigdy nie wrócą, w końcu mają twoje dane.

Jeśli używasz innej przeglądarki lub komputera do przesłania swojego CV za pomocą tego samego adresu e-mail, prawdopodobnie zostaniesz poinformowany, że istnieje już inne konto z tym samym adresem e-mail, a mimo to Ty ani żadna inna osoba nie może uzyskać dostępu do tego konta bez linku wysłane do Ciebie. (ale niekoniecznie, ponieważ zależy to od tego, jak zarządzają unikalnymi identyfikatorami)

Czy słusznie byłem sceptyczny? Czy mam „usunąć” swoje konto? Mówię „usuń” w cudzysłowach, bo kto wie, czy to się stanie.

To podejście jest bardzo powszechne.
Nie musisz usuwać swojego konta, chyba że masz inne powód.

Zgadzam się z trafnym, konkretnym wyjaśnieniem, jednak wyrażenie * „bardzo powszechne na kilku stronach internetowych” * wydaje się w jakiś sposób sprzeczne.
@Pacopaco sprzeczne z czym?
Rozumiem „* bardzo powszechne *” w tym kontekście jako „to podejście jest stosowane w wielu witrynach”, podczas gdy rozumiem „* w kilku witrynach *” jako „to podejście * nie * jest stosowane w wielu witrynach"(uwaga: angielski nie jest moim głównym językiem)
Conor Mancone
2018-07-04 21:13:28 UTC
view on stackexchange narkive permalink

Pierwsza ważna uwaga: jeśli nie zrobili czegoś naprawdę głupiego, konto bez hasła nie stanowi zagrożenia dla bezpieczeństwa. Zamiast tego byłoby normalną praktyką, że ktoś nie może zalogować się na konto bez hasła. Z tego punktu widzenia utworzenie konta bez hasła, wysłanie do użytkownika e-maila z potwierdzeniem, a następnie potem ustawienie hasła nie jest ani bardziej, ani mniej bezpieczne niż ustawienie hasła tymczasowego. W rezultacie nie ma tu żadnych obaw dotyczących bezpieczeństwa.

Dzięki, nie martwię się o część dotyczącą wznawiania, to część hasła mnie niepokoi.
Joseph
2018-07-05 18:27:14 UTC
view on stackexchange narkive permalink

Pomyśl o tym w ten sposób: łącze, które podałeś w e-mailu, jest w pewnym sensie hasłem tymczasowym. Jest to „specjalne” hasło tymczasowe, które umożliwia utworzenie rzeczywistego hasła.

Spójrz na łącze. Czy zawiera długi token / ciąg? Jeśli tak (i ​​jeśli jest poprawnie zaimplementowany, czego nigdy nie można być w 100% pewnym), jest to tak samo bezpieczne, jak wysłanie dosłownego hasła tymczasowego.

Teraz, jeśli link działa nie zawiera tokena i jest krótkim, możliwym do odgadnięcia adresem URL, może korzystać z sesji, którą ustanowiłeś podczas tworzenia konta. Jeśli tego również nie robi, system jest naprawdę podatny na ataki, ponieważ każdy mógłby odgadnąć ten adres URL i zmienić hasło do konta.

Właśnie go obejrzałem i rzeczywiście ma długi sznurek.Po prostu nigdy wcześniej nie widziałem tego typu konfiguracji.Zawsze jestem przyzwyczajony do tworzenia konta użytkownika z nazwą użytkownika i hasłem, zanim zrobię cokolwiek innego.
mentallurg
2018-07-05 02:26:45 UTC
view on stackexchange narkive permalink

Nie widzę powodu, by usuwać to konto.

  1. i utworzyłem konto użytkownika ... Mam konto użytkownika - skąd wiesz, że to naprawdę Utworzony? Czy próbowałeś się zalogować przed potwierdzeniem adresu e-mail? Być może w ogóle nie utworzono konta. Być może zostało utworzone dopiero po potwierdzeniu adresu e-mail.
  2. Konto może zostać utworzone, ale zostało wyłączone od początku, do momentu potwierdzenia adresu e-mail.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...