Domanda:
Account utente senza password
user181505
2018-07-04 20:36:39 UTC
view on stackexchange narkive permalink

Attualmente sto cercando lavoro e talvolta mi imbatto in siti che sono solo enormi database di annunci di lavoro completi e prima di fare domanda devi creare un account. Mi sono imbattuto in un sito, ma sono scettico riguardo alle sue pratiche di sicurezza.

Quando ho trovato un annuncio di lavoro a cui volevo candidarmi, ho chiesto il mio indirizzo e-mail, quindi l'ho inserito. Un popup mi ha chiesto di riprendere e le solite informazioni di contatto. Ho fornito quello che mi serviva e ho inviato la mia domanda.

Ho notato, tuttavia, che utilizzava il mio indirizzo e-mail e creava un account utente senza chiedermi una password.

Immediatamente mi sono allarmato, quindi ho controllato la mia e-mail pensando che il sito mi avesse fornito una password temporanea che mi richiede di cambiare, solo per scoprire che dovevo confermare il indirizzo e-mail e poi ti verrà chiesto di inserire una password. Dal mio punto di vista, ho avuto un account utente senza password per forse 3-5 minuti.

Avevo ragione a essere scettico? Devo eliminare il mio account?

Potrebbe sembrare una domanda stupida, ma perché vuoi una password?Stai pubblicando un curriculum, che secondo la maggior parte delle misure, è un'informazione pubblica.(Ci sono molti motivi per volerne uno, ma mi interessa quello che stai cercando).
@schroeder - Capisco cosa stai dicendo ma non ho mai visto prima questa pratica di password.
Quello che ti serve è ** [Posta usa e getta.] (Https://temp-mail.org/)! **
@C0deDaedalus - Non credo che sia una buona idea.Soprattutto dato che se qualcuno è a conoscenza della mia e-mail può chiedere un link per reimpostare la password e rubare le mie informazioni
Alcune procedure applicative richiedono molte informazioni sensibili che non vorrei fossero disponibili a tutti.
@styrofoamfly - Esatto, questo è il motivo per cui mi sento sempre a disagio per i siti di lavoro che vogliono che il mio curriculum venga caricato per * comodità *.Potrebbe salvarmi dal riempire di tanto in tanto alcune caselle di testo, ma chissà cosa stanno facendo con le mie informazioni e come vengono realmente memorizzate.Preferisco candidarmi direttamente tramite l'azienda piuttosto che un sito di lavoro.
@schroeder Presumibilmente, l'account ti consente di _editare_ anche il curriculum.Non so voi, ma non voglio che nessuno guardi il mio curriculum per poter cambiare la mia sezione esperienza in "Butts Developer presso Butts Incorporate. Butts: Butts butts. (Quando sono nato-presente)".Che ciò sia effettivamente possibile o meno è affrontato dalla tua risposta, ma è una preoccupazione valida: non sembrava esserci alcuna autenticazione, il che è estremamente preoccupante.
@NicHartley - Non ho provato, ma questa era una delle mie preoccupazioni quando non avevo una password.Ricorda, il mio curriculum ha il mio numero di telefono e indirizzo, tra quei 3-5 minuti, non so chi abbia avuto accesso, se ce n'è uno, ad esso.
Questi tipi di servizi probabilmente non * creano * il tuo account finché non fai clic sul collegamento.Memorizzano le tue informazioni solo per una possibile creazione successiva dell'account.
Sei risposte:
#1
+72
schroeder
2018-07-04 21:09:23 UTC
view on stackexchange narkive permalink

Solo perché non hai impostato una password, ciò non significa che sia possibile accedere al tuo account. Senza vedere il codice, non posso esserne sicuro, ma è possibile che tu non possa accedere al tuo account fino a quando non hai utilizzato il link nell'e-mail per impostare la password. Stavi ancora utilizzando lo stesso ID sessione mentre continuavi a utilizzare il sito.

È normale farlo?Non ho mai visto quel tipo di creazione di account prima
"normale"?No. Ma l'ho già visto.
Questo va oltre lo scopo della domanda, ma ci sono ricerche che dimostrano che questa configurazione della password non è sicura?Semplicemente non mi piace, ma forse perché non conosco molto bene la sicurezza.
Tutto dipende da come viene implementato.
Ci sono alcuni casi in cui ha molto senso avere quel flusso, ma questo non è uno di questi.
Non c'è nulla di intrinsecamente insicuro al riguardo.
Sono d'accordo con @schroeder perché quando fai clic sul collegamento, che ricevi nell'e-mail, viene richiesta la password.Quindi, ora devi concentrarti su "Il link che hai ricevuto nell'e-mail è prevedibile?"Se lo è, è un bug.
Ho visto configurazioni in cui non è mai stata impostata alcuna password permanente;invece, una password monouso è stata impostata tramite e-mail a ogni accesso.
@svavil il tuo commento mi ricorda il modo in cui Slack fa le cose con il suo "collegamento e-mail magico" invece di / come alternativa alla tua password (per comodità)
Questo è abbastanza comune.L'account è disabilitato finché non si fa clic sul collegamento nell'e-mail e si fornisce una password.
È anche possibile che, sebbene l'account non fosse _disabilitato_, non fosse nemmeno completamente abilitato.Richiedere un'e-mail per la verifica non è una pratica insolita e il sito potrebbe averti permesso, ad esempio, di caricare il tuo curriculum, ma non di modificarlo, fino a quando non hai verificato la tua e-mail.
@ConorMancone Questo è vero solo se sei certo che l'email sia stata inviata solo su canali protetti e ti fidi di ogni singolo relay tra il loro server di posta e il tuo.
#2
+66
Kolappan N
2018-07-05 11:09:54 UTC
view on stackexchange narkive permalink

In qualità di programmatore che ha creato un flusso di lavoro di registrazione degli utenti come questo, posso assicurarti che non c'è nulla di cui preoccuparsi .


Un po 'di background info

Quando inserisci la tua email, non viene creato alcun account utente (sì, hai letto bene). L'e-mail, il collegamento, l'ora di scadenza e altri dettagli vengono memorizzati. Dopo aver verificato la tua email e inserito la password, viene creato un nuovo account utente.

Dopo un po 'di tempo, se l'account utente non viene verificato, tutte le informazioni relative all'utente verranno eliminate.

Quindi, quello che è successo qui è che la tua email è stata verificata prima del processo di registrazione.

Perché è stato fatto?

Lo abbiamo fatto per evitare la creazione di account utente falsi. Inoltre impedisce a qualcuno di creare accidentalmente un account utente associato alla tua email.


Ora per rispondere alle tue domande

Avevo ragione essere scettico? Devo "eliminare" il mio account?

Non è necessario eliminare il tuo account. Questo è un comportamento insolito ma non dannoso. È solo una misura di sicurezza aggiuntiva.

Mi sono preoccupato senza motivo perché non ho mai visto quel tipo di registrazione utente prima.
@Sveta Ammetto che non pensavamo che un utente potesse insospettirsi.Grazie anche a te.D'ora in poi cerco di inserire un messaggio al riguardo all'interno del sito.
Un altro potenziale modo in cui questo potrebbe funzionare (l'ho fatto per altri motivi in passato) è impostare una password generata casualmente (ovviamente complessa, 64 caratteri o qualsiasi altra cosa) e quindi dopo la conferma dell'e-mail si reimposta sostanzialmente la password.
@KyleWardle - Questo è quello che mi aspettavo che accadesse, una password temporanea casuale, non creare una password dopo la conferma e-mail.
@Sveta che potrebbe ancora accadere, non hai mai visto la password temporanea.Quando hai "creato" l'account, potresti semplicemente sostituire il vecchio hash della password con quello nuovo
Ho visto questo flusso di lavoro dal lato Sviluppo e in quel caso l'account non è stato mantenuto nel database dell'account fino a quando l'utente non ha confermato il proprio indirizzo e-mail.Se l'indirizzo e-mail non è stato confermato entro un determinato periodo, l'account in sospeso è stato eliminato insieme a tutti i dati personali identificabili.
ho fatto lo stesso, ma nel mio caso era perché avevamo una password di modifica al primo accesso, ho pensato che le persone potessero pensare a una buona password, impostarla e poi devono cambiarla (non è possibile usare la stessa password mai oè con più del 60% di somiglianza nella formulazione! - carattere che appare).quindi ho appena eseguito questo schema e non c'era richiesta di password durante la creazione dell'account e avremmo semplicemente lasciato che lo cambiassero dopo il loro primo accesso con l'hash dell'email.
@KyleWardle Mentre quello che hai detto è il flusso di lavoro comune (e il nostro passato), lo abbiamo cambiato di proposito.Non c'erano record nella tabella utente associata all'email prima della conformazione.E vogliamo mantenerlo così.Nessun account utente, nemmeno un account non verificato per e-mail false (questo è l'intero scopo di questo flusso di lavoro).Quindi ** non c'erano account utente o password temporanee associati all'email prima della conformazione ** e non c'era alcuna sostituzione dell'hash della password.Spero che questo fornisca ulteriori informazioni.
#3
+21
elsadek
2018-07-04 22:21:07 UTC
view on stackexchange narkive permalink

Tuttavia, ho notato che utilizzava il mio indirizzo e-mail e creava un account utente senza chiedermi una password.

Questo approccio ha a che fare con la fornitura di esperienza utente con più comodità; vogliono il tuo curriculum e i tuoi dettagli ma non vogliono disturbarti a indovinare la password, quindi ti lasciano solo la possibilità di scegliere se prenderti il ​​tuo tempo per impostare la tua password o non tornare mai più, dopo tutto hanno i tuoi dettagli.

Se utilizzi un altro browser o macchina per caricare il tuo curriculum con la stessa email, verrai probabilmente informato che esiste già un altro account con la stessa email, tuttavia tu o qualsiasi altra persona non potete accedere a quell'account senza il collegamento che hanno inviato a te. (ma non necessariamente in quanto dipende da come gestiscono gli ID univoci)

Avevo ragione a essere scettico? Devo "cancellare" il mio account? Dico elimina tra virgolette, perché chissà se sarà fatto.

Questo approccio è molto comune.
Non devi cancellare il tuo account, a meno che tu non ne abbia un altro motivo.

D'accordo con la buona spiegazione al punto, tuttavia la frase * "molto comune su un paio di siti web" * sembra in qualche modo contraddittoria.
@Pacopaco contraddittorio con cosa?
Capisco "* molto comune *" in questo contesto come "l'approccio è utilizzato in molti siti web", mentre capisco "* su un paio di siti web *" come "questo approccio * non * è utilizzato su molti siti web"(nota: l'inglese non è la mia lingua principale)
#4
+7
Conor Mancone
2018-07-04 21:13:28 UTC
view on stackexchange narkive permalink

Primo punto importante: a meno che non abbiano fatto qualcosa di veramente stupido, un account senza password non è un rischio per la sicurezza. Invece, sarebbe prassi normale che qualcuno non possa accedere a un account senza una password. Da questo punto di vista, creare un account senza password, inviare un'e-mail all'utente per confermare e quindi fargli impostare una password non è più o meno sicuro che impostare una password temporanea. Di conseguenza non ci sono reali problemi di sicurezza qui.

Grazie, non sono preoccupato per la parte del curriculum, è la parte della password che mi infastidisce.
#5
+5
Joseph
2018-07-05 18:27:14 UTC
view on stackexchange narkive permalink

Pensala in questo modo: il link che ti ha fornito l'e-mail è, in un certo senso, la tua password temporanea. È una password temporanea "speciale" che ti consente di creare una password effettiva.

Guarda il collegamento. Contiene un token / stringa lungo? Se è così, (e se è implementato correttamente, cosa di cui non puoi mai essere sicuro al 100%), allora è sicuro come l'invio di una password temporanea letterale.

Ora, se il collegamento lo fa non contiene un token ed è un URL breve e intuibile, potrebbe utilizzare la sessione che avevi stabilito creando l'account. In caso contrario, il sistema è veramente vulnerabile poiché chiunque sarebbe in grado di indovinare detto URL e modificare la password dell'account associato.

L'ho appena dato un'occhiata e in effetti ha una lunga stringa.Non ho mai visto prima questo tipo di configurazione.Sono sempre abituato a creare un account utente con un nome utente e una password prima di fare qualsiasi altra cosa.
#6
  0
mentallurg
2018-07-05 02:26:45 UTC
view on stackexchange narkive permalink

Non vedo alcun motivo per eliminare l'account.

  1. e ho creato un account utente ... Avevo un account utente - Come fai a sapere che era davvero creato? Hai provato ad accedere prima di confermare la tua email? Forse non è stato creato alcun account. Potrebbe essere stato creato solo dopo aver confermato la tua email.
  2. Può essere che l'account sia stato creato ma è stato disabilitato dall'inizio fino alla conferma della tua email.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...