Wird in sehr vielen großen Unternehmen so gemacht, keine Ahnung was da jetzt groß überraschend ist
Ginkro on
> Wenn das hier im Klartext ist, ist die Vermutung nahe das es auch auf den DBs im Klartext liegt.
Wenn das ein neu generiertes passwort ist, nicht unbedingt. Wenn es das aktuelle ist, ist es natürlich katastrophal. Haben sie dir ein neues passwort generiert geschickt, oder ist es das was du eingegeben hast?
Ersteres (wenn beim ersten login ein neues verlangt wird) seh ich nicht so kritisch, kommt auf dasselbe wie ein ein link mit token zum passwort ändern (nur bissl mühsamer). Letzteres find ich sehr merkwürdig.
0xe1e10d68 on
Naja, die Übertragung zw den Servern wird wohl verschlüsselt sein; ob da jetzt die fehlende E2E wirklich ein Risikofaktor ist? Wird ja auch gar nicht wirklich unterstützt.
Abgesehen davon ist aber halt schon fraglich ob man das Passwort überhaupt per Email versenden muss bzw. wozu man das tun sollte. Hoffentlich ist es in der Datenbank trotzdem entsprechend gespeichert.
3 commenti
Wird in sehr vielen großen Unternehmen so gemacht, keine Ahnung was da jetzt groß überraschend ist
> Wenn das hier im Klartext ist, ist die Vermutung nahe das es auch auf den DBs im Klartext liegt.
Wenn das ein neu generiertes passwort ist, nicht unbedingt. Wenn es das aktuelle ist, ist es natürlich katastrophal. Haben sie dir ein neues passwort generiert geschickt, oder ist es das was du eingegeben hast?
Ersteres (wenn beim ersten login ein neues verlangt wird) seh ich nicht so kritisch, kommt auf dasselbe wie ein ein link mit token zum passwort ändern (nur bissl mühsamer). Letzteres find ich sehr merkwürdig.
Naja, die Übertragung zw den Servern wird wohl verschlüsselt sein; ob da jetzt die fehlende E2E wirklich ein Risikofaktor ist? Wird ja auch gar nicht wirklich unterstützt.
Abgesehen davon ist aber halt schon fraglich ob man das Passwort überhaupt per Email versenden muss bzw. wozu man das tun sollte. Hoffentlich ist es in der Datenbank trotzdem entsprechend gespeichert.