是否在电子邮件保险箱中发送密码[关闭]

Posted 2023-02-25

【中文标题】是否在电子邮件保险箱中发送密码[关闭]

【英文标题】：Is sending password in email safe [closed]

【发布时间】：2017-08-07 06:18:08

【问题描述】：

我们公司决定在注册和忘记密码时通过电子邮件发送密码。我在问这是否存在一些安全问题？

【问题讨论】：

你是否使用了ajax？

你的问题只问它是否安全。我已经针对你的问题给出了具体的答案。如果您需要知道可以使用的其他选项，请提出另一个问题。

@Araz 我们从服务器端发送电子邮件

请参阅security.stackexchange.com/questions/17979/… 了解替代方案

【参考方案1】：

简短的回答是否定的。这是不安全的。

此外，服务器不应将密码以纯文本形式存储在数据库中，并且服务器不应以可以解码/解密密码的方式对其进行编码/加密。

服务器应该以不同的方式处理“忘记密码”流程。你可以阅读更多here（实现所有流程的Java项目...）：

https://github.com/OhadR/authentication-flows/tree/master/authentication-flows#forgot-password-flow

【讨论】：

哦，但是 Airbnb 会这样做（不会过期，也不会在第一次登录时强制更改）所以它一定没问题 ;-)

【参考方案2】：

在任何地方以人类可读的格式存储密码都不能被认为是安全的。但是大多数服务提供商通过电子邮件发送密码，因此这是系统管理员需要做出的选择。

【讨论】：

我同意这一点。它完美地回答了这个问题。一言以蔽之：没有。