AO
при таком кейсе — да; однако пароли ему могут заводиться и автоматом, рассылаться по почте/смс; а это уже дыра
рассылать пароли автоматом - это уже дыра сама по себе
Size: a a a
2019 May 05
AO
потому что обычно они не имеют срока действия
AO
рассылать нужно ссылки, которые действуют ограниченное время
AO
только сутки, например
AO
(или меньше)
AL
если пароль нужно сменить при первом входе, то ничего криминального не вижу
AO
ну, это неэргономично
AO
проблема с тем, что пароли могут лежать неделями
AO
человек запросил регистрацию
AO
потом забыл про это
AO
его почту взломали и зарегились за него
AO
он не в курсе даже
AL
ну, это неэргономично
в одном из проектов, пользователи вообще заводились домен-контроллером при добавлении в группу, а затем пользователь их сам менял. до перехода на SSO других вариантов мы не придумали
AO
то есть он может забыть письмо и не отреагировать, а аккаунт создаст условный хакер, который взломает его почту через год
AL
его почту взломали и зарегились за него
тут да, но для этого придумано подтверждение регистрации, тут уже можно временные ссылки делать и всё что угодно
AO
тут да, но для этого придумано подтверждение регистрации, тут уже можно временные ссылки делать и всё что угодно
ну тогда придется открывать почту 2 раза
AL
некоторые умники вообще не используют пароли, а каждый раз отправляют ссылку на почту для аутентификации. жуть как по мне
AO
сначала временный пароль, потом подтверждение
AO
некоторые умники вообще не используют пароли, а каждый раз отправляют ссылку на почту для аутентификации. жуть как по мне
это считается самым безопасным способом сейчас
AO
это passwordless