web-dev-qa-db-ja.com

電子メールのパスワード回復変更リンクの長所と短所は何ですか?

多くのサイトではまだパスワードをプレーンテキストでメールで送信していますが、代わりにWebページのURLを送信するプッシュがあります。

しかし、クリアテキストのパスワードよりも安全な方法はありますか?誰かがあなたの電子メールを傍受しようとする場合、どちらの方法でもパスワードを取得します。 URLを電子メールで送信することは、単なるセキュリティの幻想ではありませんか?

2
Maelish

パスワードをメールで送信し、3か月後に誰かがあなたのメールにアクセスできるようになった場合、彼らはあなたのアカウントに入ることができます(パスワードを変更していない限り)。パスワードリセットリンクをメールで送信し、3か月後に誰かがアカウントにアクセスしても、何もしません。使用していない場合でも期限切れになるためです。電子メールの侵害により、攻撃者がアカウントにアクセスできる時間枠が大幅に短縮されます。

6
Mike Scott

プレーンテキストパスワードとURLをメールで送信することではなく、パスワードをプレーンテキストで保存することとハッシュすることです。パスワードをプレーンテキストで保存することは、サイト(またはサーバー、またはデータベース...)が悪用された場合、ハッカーは同じユーザー名とパスワード。正しくハッシュ(およびソルト)されたパスワードには、この脆弱性はありません。

パスワードを安全に保存しているサイトは、パスワードがわからないため、パスワードをメールで送信できません。そのため、パスワードをリセットできる推測不可能なURLが代わりに送信されます。

保護しているシステムが十分に機密性が高く、ユーザーがメールをハッキングされないように保護したい場合は、セキュリティの追加レイヤーとして two factor authentication を使用することを検討してください。

10
Tim Fountain