Я всегда косо смотрю на письмо, когда мне присылают мой пароль в открытом виде сразу после того, как я где-то зарегистрировался. Я тупой? Я его сразу забыл? Я два раза его написал одинаково неправильно при регистрации? Я не могу тыкнуть на кнопку «Забыл пароль»?
Но сайт superjob.ru меня просто обескуражил! Прислали письмо бесполезное из серии, если вы не знаете, то у нас есть такой сервис, и заодно в письме напомнили мне мои регистрационные данные: E-mail, на случий, если я дурачок и не знаю, почту с какого емейла сейчас читаю и пароль, на случай, если его кто-то кроме меня хочет знать, наверное. Я вежливо высказал своё мнение по этому поводу напрямую менеджеру, чья подпись была в письме. В ответ мне объяснили, что мою почту читать должен только я, а пароль прислали, на случай, если я его «забыл или потерял». На мои подробные объяснения, того что это делать не нужно, т.к. это в любом случае не безопасно и что пароль, я запрошу сам, если будет надо, мне написали вообще бред. Если коротко, то смысл такой: «У нас есть функция «Я забыл пароль», но многие либо забывают, либо теряют свой пароль.» Где логика??? И в конце письма отмазка: «Мы обязательно учтем Ваши рекомендации при работе по усовершенствованию нашего сервиса и обдумаем возможность внесения изменений.»
Я обещал им написать этот пост, я пишу. На самом деле я просто хочу поднять этот вопрос. Есть кто-то, кто считает, что надо присылать ему его пароль в открытом виде, сразу после регистрации? И кто считает, что такие напоминания имеют право существовать?
Лично моё мнение: пароль видеть открытым текстом вообще никогда нет смысла. Для этого и поля ввода пароля имеет такие свойства. Более того, я считаю, что он даже храниться не должен нигде, это не нужно для того, чтобы проверить правильность моего пароля во время логина. И даже во время запроса забытого пароля, правильные сервисы генерируют новый пароль и его присылают. Заходишь и ставишь нужный тебе.
Вспомнил ещё один момент: кроме того, что в письме был мой пароль, там ещё была ссылка, по которой можно зайти на сайт без пароля. Т.е. лень вспоминать пароль? Вот он! Лень его вводить? Жми на ссылку!
P.S. Я не параноик. Но мне кажется, что уже это перебор. Захотелось обсудить посылки паролей почтой, как явление.
P.P.S. Не смог опубликовать в блог «Информационная безопасность». Не знаю почему. А хабр знает, но не говорит: «Some error… We know...»
Но сайт superjob.ru меня просто обескуражил! Прислали письмо бесполезное из серии, если вы не знаете, то у нас есть такой сервис, и заодно в письме напомнили мне мои регистрационные данные: E-mail, на случий, если я дурачок и не знаю, почту с какого емейла сейчас читаю и пароль, на случай, если его кто-то кроме меня хочет знать, наверное. Я вежливо высказал своё мнение по этому поводу напрямую менеджеру, чья подпись была в письме. В ответ мне объяснили, что мою почту читать должен только я, а пароль прислали, на случай, если я его «забыл или потерял». На мои подробные объяснения, того что это делать не нужно, т.к. это в любом случае не безопасно и что пароль, я запрошу сам, если будет надо, мне написали вообще бред. Если коротко, то смысл такой: «У нас есть функция «Я забыл пароль», но многие либо забывают, либо теряют свой пароль.» Где логика??? И в конце письма отмазка: «Мы обязательно учтем Ваши рекомендации при работе по усовершенствованию нашего сервиса и обдумаем возможность внесения изменений.»
Я обещал им написать этот пост, я пишу. На самом деле я просто хочу поднять этот вопрос. Есть кто-то, кто считает, что надо присылать ему его пароль в открытом виде, сразу после регистрации? И кто считает, что такие напоминания имеют право существовать?
Лично моё мнение: пароль видеть открытым текстом вообще никогда нет смысла. Для этого и поля ввода пароля имеет такие свойства. Более того, я считаю, что он даже храниться не должен нигде, это не нужно для того, чтобы проверить правильность моего пароля во время логина. И даже во время запроса забытого пароля, правильные сервисы генерируют новый пароль и его присылают. Заходишь и ставишь нужный тебе.
Вспомнил ещё один момент: кроме того, что в письме был мой пароль, там ещё была ссылка, по которой можно зайти на сайт без пароля. Т.е. лень вспоминать пароль? Вот он! Лень его вводить? Жми на ссылку!
P.S. Я не параноик. Но мне кажется, что уже это перебор. Захотелось обсудить посылки паролей почтой, как явление.
P.P.S. Не смог опубликовать в блог «Информационная безопасность». Не знаю почему. А хабр знает, но не говорит: «Some error… We know...»
