Когда стоит хранить пароли в виде открытого текста?

Question

Я работаю над приложением, предназначенным для нетехнических пользователей.Я ожидаю большое количество обращений в службу поддержки по поводу утерянных паролей и невозможности входа в систему.

Я использую членство в ASP.NET, которое предоставляет 3 варианта хранения паролей - Открытый текст, Хешированный, Зашифрованный.

Это хорошая идея, чтобы хранить пароли в виде открытого текста, учитывая характер этого приложения?Существуют ли какие-либо юридические проблемы, связанные с хранением паролей в виде открытого текста?

Answer 1

Вы должны хранить пароли в открытом виде, только если вы хотите, чтобы их было действительно легко получить. Для вашего случая использования я бы предложил вариант, когда пользователь вводит свой адрес электронной почты и получает электронное письмо, содержащее ссылку, с которой он может войти в систему. При входе в систему у него должна быть возможность сменить пароль, если он этого хочет, но если большинство пользователей не являются частыми посетителями, они могут даже не захотеть менять свой пароль, поскольку они забудут его до следующего посещения.

Answer 2

Это хорошая идея, если вы думаете об удобстве использования и меньше усилий с точки зрения пользователя.

Однако вы должны понимать, что как разработчик вы должны гарантировать безопасность своих пользователей в Интернете.То, что хочет пользователь, не всегда является лучшим для него.

Люди используют один и тот же пароль во многих аккаунтах.Если ваша база данных каким-то образом скомпрометирована, вы выдаете пароли, которые можно использовать, например, на банковских счетах.

Если вы думаете, что сброс пароля не для неопытных людей, по крайней мере, создайте форму для изменения пароля, как это делает Gmail.

Я не знаю в США, но по крайней мерев моей стране, если бы взломанная система хранила в ней мои пароли, я бы попытался подать на них в суд, потому что у нас есть способов предотвратить хранение паролей в открытом виде.