Nie jest to przypadkiem groźne? Co jeżeli ktoś, kto będzie chciał poznać hasło użytkownika ‘iworks’, założy konto ‘íworks’ i poprosi o przypomnienie hasła?
Zależy jak przypomnienie ( co samo w sobie jest niebezpiecznym pomysłem, bo zakłada trzymanie hasła ) jest wykonane. Jeżeli wysyłany jest email na adres zapisany w profilu to nie ma znaczenia.
Ale co do hasła, to powinno być ono przechowywane w postaci hash’a powstałem ze sklejenia hasła z jawnym saltem. A system powinien umożliwiać “zmianę” hasła, a nie jego przypomnienie.
Możliwość komentowania jest wyłączona.
Jeżeli chcesz skomentować, napisz mail na adres marcin w domenie strony na której jesteś. Dodam twoj komentarz.
Nie jest to przypadkiem groźne? Co jeżeli ktoś, kto będzie chciał poznać hasło użytkownika ‘iworks’, założy konto ‘íworks’ i poprosi o przypomnienie hasła?
Zależy jak przypomnienie ( co samo w sobie jest niebezpiecznym pomysłem, bo zakłada trzymanie hasła ) jest wykonane. Jeżeli wysyłany jest email na adres zapisany w profilu to nie ma znaczenia.
Ale co do hasła, to powinno być ono przechowywane w postaci hash’a powstałem ze sklejenia hasła z jawnym saltem. A system powinien umożliwiać “zmianę” hasła, a nie jego przypomnienie.