在注册时通过电子邮件向用户发送密码是一个可怕的想法 – 在它被服务器端代码散列并存储到数据库之前?
解决方法:
如果它是用户输入的,是的,这是一个坏主意.电子邮件是未加密的,可以在您的邮件服务器和他们的邮件服务器之间传输,也可能被访问这两个服务器的人员读取.
如果它是一次性临时密码,则风险较小,因为他们应该在不久后更改它.
2022-08-23 07:47:17
在注册时通过电子邮件向用户发送密码是一个可怕的想法 – 在它被服务器端代码散列并存储到数据库之前?
解决方法:
如果它是用户输入的,是的,这是一个坏主意.电子邮件是未加密的,可以在您的邮件服务器和他们的邮件服务器之间传输,也可能被访问这两个服务器的人员读取.
如果它是一次性临时密码,则风险较小,因为他们应该在不久后更改它.