Frage:
Benutzerkonto ohne Passwort
user181505
2018-07-04 20:36:39 UTC
view on stackexchange narkive permalink

Ich bin derzeit auf Jobsuche und manchmal stoße ich auf Websites, bei denen es sich nur um riesige Datenbanken mit vollständigen Stellenausschreibungen handelt. Bevor Sie sich bewerben, müssen Sie ein Konto erstellen. Ich bin auf eine Site gestoßen, bin aber skeptisch gegenüber deren Sicherheitspraktiken.

Als ich eine Stellenanzeige fand, auf die ich mich bewerben wollte, fragte ich nach meiner E-Mail-Adresse und gab sie ein. Ein Popup bat mich um einen Lebenslauf und die üblichen Kontaktinformationen. Ich habe den gewünschten Bedarf angegeben und meine Bewerbung gesendet.

Ich habe jedoch festgestellt, dass meine E-Mail-Adresse verwendet und ein Benutzerkonto erstellt wurde, ohne dass ich zur Eingabe eines Kennworts aufgefordert wurde.

Sofort war ich alarmiert, daher überprüfte ich meine E-Mail und dachte, dass die Site mir ein temporäres Passwort zur Verfügung stellte, das ich ändern musste, nur um festzustellen, dass ich meine E-Mail bestätigen musste. E-Mail-Adresse und werden Sie dann aufgefordert, ein Passwort einzugeben . Aus meiner Sicht hatte ich 3-5 Minuten lang ein Benutzerkonto ohne Passwort.

War ich zu Recht skeptisch? Soll ich mein Konto löschen ?

Das klingt vielleicht nach einer dummen Frage, aber warum möchten Sie ein Passwort?Sie veröffentlichen einen Lebenslauf, bei dem es sich in den meisten Fällen um öffentliche Informationen handelt.(Es gibt viele Gründe, einen zu wollen, aber ich interessiere mich für das, was Sie suchen).
@schroeder - Ich verstehe, was Sie sagen, aber ich habe diese Passwortpraxis noch nie gesehen.
Was Sie brauchen, ist ** [Einweg-Mails.] (Https://temp-mail.org/)! **
@C0deDaedalus - Ich halte das nicht für eine gute Idee.Insbesondere, wenn jemand Kenntnis von meiner E-Mail hat, kann er nach einem Link zum Zurücksetzen des Passworts fragen und meine Informationen stehlen
Einige Bewerbungsverfahren erfordern viele vertrauliche Informationen, die ich nicht jedem zur Verfügung stellen möchte.
@styrofoamfly - Genau aus diesem Grund fühle ich mich immer unwohl bei Websites, auf denen mein Lebenslauf aus * Gründen * hochgeladen werden soll.Es könnte mich davon abhalten, von Zeit zu Zeit ein paar Textfelder auszufüllen, aber wer weiß, was sie mit meinen Informationen machen und wie sie wirklich gespeichert werden.Ich bewerbe mich eher direkt über das Unternehmen als über eine Baustelle.
@schroeder Vermutlich können Sie mit dem Konto auch den Lebenslauf bearbeiten.Ich weiß nichts über Sie, aber ich möchte nicht, dass jemand, der sich meinen Lebenslauf ansieht, meinen Erfahrungsbereich in "Butts Developer bei Butts Incorporate. Butts: Butts Butts. (Als ich geboren wurde)" ändert.Ob dies tatsächlich möglich ist oder nicht, wird in Ihrer Antwort angesprochen, aber es ist ein berechtigtes Anliegen - es schien keine Authentifizierung zu geben, was äußerst besorgniserregend ist.
@NicHartley - Ich habe es nicht versucht, aber dies war eines meiner Probleme, als ich kein Passwort hatte.Denken Sie daran, mein Lebenslauf enthält meine Telefonnummer und Adresse. Zwischen diesen drei bis fünf Minuten weiß ich nicht, wer gegebenenfalls Zugriff darauf hatte.
Diese Arten von Diensten * erstellen * Ihr Konto wahrscheinlich erst, wenn Sie auf den Link klicken.Sie speichern Ihre Informationen nur für eine mögliche spätere Kontoerstellung.
Sechs antworten:
#1
+72
schroeder
2018-07-04 21:09:23 UTC
view on stackexchange narkive permalink

Nur weil Sie kein Passwort festgelegt haben, bedeutet dies nicht, dass auf Ihr Konto zugegriffen werden kann. Ohne den Code zu sehen, kann ich nicht sicher sein, aber es ist möglich, dass Sie sich nicht in Ihrem Konto anmelden konnten, bis Sie den Link in der E-Mail verwendet haben, um das Passwort festzulegen. Sie haben immer noch dieselbe Sitzungs-ID verwendet, während Sie die Site weiter verwendet haben.

Ist es normal das zu tun?Ich habe diese Art der Kontoerstellung noch nie gesehen
"normal"?Nein, aber ich habe es schon einmal gesehen.
Dies geht über den Rahmen der Frage hinaus. Gibt es jedoch Untersuchungen, die belegen, dass diese Kennworteinstellung unsicher ist?Ich mag es einfach nicht, aber vielleicht, weil ich die Sicherheit nicht so gut kenne.
Es hängt alles davon ab, wie es implementiert wird.
Es gibt einige Fälle, in denen es sehr sinnvoll ist, diesen Fluss zu haben, aber dies ist keiner von ihnen.
Daran ist nichts von Natur aus unsicher.
Ich stimme @schroeder zu, denn wenn Sie auf den Link klicken, den Sie in der E-Mail erhalten, werden Sie nach dem Passwort gefragt.Nun müssen Sie sich auf "Ist der Link, den Sie in der E-Mail erhalten haben, vorhersehbar?" Konzentrieren.Wenn ja, dann ist es ein Fehler.
Ich habe Setups gesehen, bei denen nie ein permanentes Passwort eingerichtet wurde.Stattdessen wurde bei jedem Login ein Einmalkennwort per E-Mail festgelegt.
@svavil Ihr Kommentar erinnert mich an die Art und Weise, wie Slack Dinge mit seinem "magischen E-Mail-Link" anstelle von / als Alternative zu Ihrem Passwort macht (der Einfachheit halber).
Das ist ziemlich häufig.Das Konto ist deaktiviert, bis Sie auf den Link in der E-Mail klicken und ein Passwort eingeben.
Es ist auch möglich, dass das Konto, obwohl es nicht deaktiviert war, auch nicht vollständig aktiviert wurde.Das Anfordern einer E-Mail zur Überprüfung ist kaum ungewöhnlich, und auf der Website konnten Sie möglicherweise Ihren Lebenslauf hochladen, ihn jedoch nicht ändern, bis Sie Ihre E-Mail überprüft haben.
@ConorMancone Dies gilt nur, wenn Sie sicher sind, dass die E-Mail nur über sichere Kanäle gesendet wurde und Sie jedem einzelnen Relay zwischen ihrem und Ihrem Mailserver vertrauen.
#2
+66
Kolappan N
2018-07-05 11:09:54 UTC
view on stackexchange narkive permalink

Als Programmierer, der einen solchen Workflow für die Benutzeranmeldung erstellt hat, kann ich Ihnen versichern, dass Sie sich keine Sorgen machen müssen .


Ein kleiner Hintergrund info

Wenn Sie Ihre E-Mail-Adresse eingeben, wird kein Benutzerkonto erstellt (ja, Sie haben es richtig gelesen). Die E-Mail, der Link, die Ablaufzeit und andere Details werden gespeichert. Sobald Sie Ihre E-Mail-Adresse überprüft und das Kennwort eingegeben haben, wird ein neues Benutzerkonto erstellt.

Wenn das Benutzerkonto nach einiger Zeit nicht überprüft wird, werden alle Informationen zum Benutzer gelöscht.

Was hier passiert ist, ist, dass Ihre E-Mail vor dem Anmeldevorgang überprüft wurde.

Warum wird das gemacht?

Wir haben dies getan, um die Erstellung zu vermeiden von gefälschten Benutzerkonten. Es verhindert auch, dass jemand versehentlich ein Benutzerkonto erstellt, das Ihrer E-Mail zugeordnet ist.


Nun zur Beantwortung Ihrer Fragen

Habe ich Recht skeptisch sein? Soll ich mein Konto "löschen"?

Es ist nicht erforderlich, Ihr Konto zu löschen. Dies ist ein ungewöhnliches, aber kein schädliches Verhalten. Dies ist nur eine zusätzliche Sicherheitsmaßnahme.

Ich habe mir ohne Grund Sorgen gemacht, weil ich diese Art der Benutzerregistrierung noch nie gesehen habe.
@Sveta Ich gebe zu, dass wir nicht gedacht haben, dass ein Benutzer misstrauisch werden könnte.Danke dir auch.Von nun an versuche ich, eine entsprechende Nachricht in die Website aufzunehmen.
Eine andere Möglichkeit, wie dies funktionieren könnte (ich habe dies aus anderen Gründen in der Vergangenheit getan), besteht darin, ein Passwort zu erstellen, das zufällig generiert wird (offensichtlich ein komplexes, 64 Zeichen oder was auch immer). Nach der Bestätigung per E-Mail setzen Sie das Passwort im Grunde zurück.
@KyleWardle - Dies ist, was ich erwartet hatte, ein zufälliges temporäres Passwort, kein Passwort nach E-Mail-Bestätigung erstellen.
@Sveta, das möglicherweise noch passiert ist, haben Sie das temporäre Passwort einfach nie gesehen.Wenn Sie das Konto "erstellt" haben, kann es einfach den alten Passwort-Hash durch Ihren neuen ersetzen
Ich habe diesen Workflow von der Entwicklungsseite aus gesehen. In diesem Fall wurde das Konto nicht in der Kontodatenbank gespeichert, bis der Benutzer seine E-Mail-Adresse bestätigt hatte.Wenn die E-Mail-Adresse nicht innerhalb eines festgelegten Zeitraums bestätigt wurde, wurde das ausstehende Konto zusammen mit allen personenbezogenen Daten gelöscht.
Ich habe das Gleiche getan, aber in meinem Fall, weil wir beim ersten Login ein Passwort geändert hatten, dachte ich, die Leute könnten sich ein gutes Passwort vorstellen, es festlegen und dann müssen sie es ändern (es ist nicht möglich, dasselbe Passwort jemals zu verwenden oderSache ist mit mehr als 60% Ähnlichkeit der Formulierung! - Zeichen erscheint).Also habe ich gerade dieses Muster gemacht und es gab keine Passwortabfrage während der Kontoerstellung und wir ließen sie es einfach nach ihrer ersten Anmeldung mit E-Mail-Hash ändern.
@KyleWardle Während Sie den allgemeinen Workflow (und unsere Vergangenheit) angegeben haben, haben wir ihn gezielt geändert.In der Benutzertabelle, die mit der E-Mail verknüpft war, war vor der Bestätigung kein Datensatz vorhanden.Und wir wollen es so halten.Kein Benutzerkonto, nicht einmal ein nicht verifiziertes Konto für gefälschte E-Mails (das ist der ganze Zweck dieses Workflows).Es gab also ** kein Benutzerkonto oder temporäres Passwort, das mit der E-Mail vor der Bestätigung verknüpft war ** und es gab kein Ersetzen des Passwort-Hash.Hoffe das liefert mehr Informationen.
#3
+21
elsadek
2018-07-04 22:21:07 UTC
view on stackexchange narkive permalink

Mir ist jedoch aufgefallen, dass meine E-Mail-Adresse verwendet und ein Benutzerkonto erstellt wurde, ohne dass ich zur Eingabe eines Kennworts aufgefordert wurde.

Dieser Ansatz hat mit der Bereitstellung von Benutzererfahrung zu tun mehr Bequemlichkeit; Sie möchten Ihren Lebenslauf und Ihre Daten, aber sie möchten Sie nicht mit dem Erraten von Passwörtern belästigen. Sie haben nur die Wahl, sich entweder Zeit für die Festlegung Ihres Passworts zu nehmen oder nie wieder zurückzukehren, schließlich haben sie Ihre Daten.

Wenn Sie einen anderen Browser oder Computer verwenden, um Ihren Lebenslauf mit derselben E-Mail-Adresse hochzuladen, werden Sie wahrscheinlich darüber informiert, dass bereits ein anderes Konto mit derselben E-Mail-Adresse vorhanden ist. Sie oder eine andere Person können jedoch ohne den von ihnen angegebenen Link nicht auf dieses Konto zugreifen an Sie gesendet (aber nicht unbedingt, da es davon abhängt, wie sie eindeutige IDs verwalten)

Hatte ich Recht, skeptisch zu sein? Soll ich mein Konto "löschen"? Ich sage Löschen in Anführungszeichen, denn wer weiß, ob dies getan wird.

Dieser Ansatz ist sehr verbreitet.
Sie müssen Ihr Konto nicht löschen, es sei denn, Sie haben ein anderes Grund.

Stimmen Sie der guten Erklärung zu, aber der Ausdruck * "sehr häufig auf einigen Websites" * scheint irgendwie widersprüchlich.
@Pacopaco widerspricht was?
Ich verstehe "* sehr häufig *" in diesem Zusammenhang als "der Ansatz wird auf vielen Websites verwendet", während ich "* auf einigen Websites *" als "dieser Ansatz wird * nicht * auf vielen Websites verwendet" verstehe"(Anmerkung: Englisch ist nicht meine Hauptsprache)
#4
+7
Conor Mancone
2018-07-04 21:13:28 UTC
view on stackexchange narkive permalink

Wichtiger erster Punkt: Wenn sie nichts wirklich Dummes getan haben, ist ein Konto ohne Passwort kein Sicherheitsrisiko. Stattdessen ist es üblich, dass sich jemand ohne Passwort nicht bei einem Konto anmelden kann. Aus dieser Perspektive ist das Erstellen eines Kontos ohne Kennwort, das Senden einer E-Mail an den Benutzer zur Bestätigung und das Festlegen eines Kennworts durch und nicht mehr oder weniger sicher als das Festlegen eines temporären Kennworts. Infolgedessen gibt es hier keine wirklichen Sicherheitsbedenken.

Danke, ich mache mir keine Sorgen um den Lebenslauf-Teil, es ist der Passwort-Teil, der mich nervt.
#5
+5
Joseph
2018-07-05 18:27:14 UTC
view on stackexchange narkive permalink

Stellen Sie sich das so vor: Der Link, den Sie per E-Mail erhalten haben, ist in gewisser Weise Ihr temporäres Passwort. Es ist ein "spezielles" temporäres Passwort, mit dem Sie ein tatsächliches Passwort erstellen können.

Sehen Sie sich den Link an. Enthält es einen langen Token / String? Wenn ja (und wenn es korrekt implementiert ist, dessen Sie sich nie hundertprozentig sicher sein können), ist es so sicher wie das Senden eines temporären Literal-Passworts.

Wenn der Link tut enthält kein Token und ist eine kurze, erratene URL. Möglicherweise wird die Sitzung verwendet, die Sie beim Erstellen des Kontos eingerichtet haben. Wenn dies auch nicht der Fall ist, ist das System wirklich anfällig, da jeder die URL erraten und das Kennwort des zugehörigen Kontos ändern kann.

Ich habe es mir gerade angesehen und es hat tatsächlich eine lange Schnur.Ich habe diese Art von Setup noch nie gesehen.Ich bin es immer gewohnt, zuerst ein Benutzerkonto mit einem Benutzernamen und einem Passwort zu erstellen, bevor ich etwas anderes mache.
#6
  0
mentallurg
2018-07-05 02:26:45 UTC
view on stackexchange narkive permalink

Ich sehe keinen Grund, das Konto zu löschen.

  1. und habe ein Benutzerkonto erstellt ... Ich hatte ein Benutzerkonto - Woher wissen Sie, dass es wirklich war? erstellt? Haben Sie versucht, sich anzumelden, bevor Sie Ihre E-Mail-Adresse bestätigt haben? Möglicherweise wurde überhaupt kein Konto erstellt. Möglicherweise wurde es erst erstellt, nachdem Sie Ihre E-Mail bestätigt haben.
  2. Möglicherweise wurde ein Konto erstellt, aber von Anfang an deaktiviert, bis Sie Ihre E-Mail bestätigen.
  3. ol>


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...