Question:
Compte utilisateur sans mot de passe
user181505
2018-07-04 20:36:39 UTC
view on stackexchange narkive permalink

Je recherche actuellement un emploi, et parfois je tombe sur des sites qui ne sont que d'énormes bases de données d'offres d'emploi complètes, et avant de postuler, vous devez créer un compte. Je suis tombé sur un site, mais je suis sceptique quant à ses pratiques de sécurité.

Lorsque j'ai trouvé une offre d'emploi pour laquelle je voulais postuler, elle m'a demandé mon adresse e-mail, alors je l'ai saisie. Un pop-up m'a demandé un CV et les coordonnées habituelles. J'ai fourni ce dont j'avais besoin et j'ai envoyé ma candidature.

J'ai cependant remarqué qu'elle utilisait mon adresse e-mail et créait un compte utilisateur sans me demander de mot de passe.

Tout de suite, j'ai été alarmé par cela, j'ai donc vérifié mon e-mail en pensant que le site m'avait fourni un mot de passe temporaire qu'il me fallait changer, pour découvrir que je devais confirmer mon e- adresse e-mail, puis vous êtes invité à saisir un mot de passe. De mon point de vue, j'avais un compte utilisateur sans mot de passe pendant peut-être 3 à 5 minutes.

Ai-je raison d'être sceptique? Dois-je supprimer mon compte?

Cela peut sembler une question idiote, mais pourquoi voulez-vous un mot de passe?Vous publiez un CV qui, par la plupart des mesures, est une information publique.(Il y a beaucoup de raisons d'en vouloir un, mais je suis intéressé par ce que vous recherchez).
@schroeder - Je comprends ce que vous dites mais je n'ai jamais vu cette pratique de mot de passe auparavant.
Ce dont vous avez besoin, c'est de ** [Mails jetables.] (Https://temp-mail.org/)! **
@C0deDaedalus - Ne pensez pas que ce soit une bonne idée.Surtout étant donné que si quelqu'un connaît mon e-mail, il peut demander un lien de réinitialisation de mot de passe et voler mes informations
Certaines procédures de candidature nécessitent de nombreuses informations sensibles dont je ne voudrais pas que tout le monde puisse accéder.
@styrofoamfly - Exactement, c'est pourquoi je me sens toujours mal à l'aise avec les sites d'emploi qui veulent que mon CV soit téléchargé pour * commodité *.Cela peut m'éviter de remplir quelques zones de texte de temps en temps, mais qui sait ce qu'ils font de mes informations et comment elles sont réellement stockées.Je préfère postuler directement via l'entreprise plutôt que sur un chantier.
@schroeder Vraisemblablement, le compte vous permet également de modifier le CV.Je ne sais pas pour vous, mais je ne veux pas que quiconque regarde mon CV puisse changer ma section d'expérience en "Butts Developer chez Butts Incorporate. Butts: Butts butts. (Quand je suis né-présent)".Que ce soit réellement possible ou non est abordé par votre réponse, mais c'est une préoccupation valable - il semble qu'il n'y ait pas d'authentification, ce qui est extrêmement préoccupant.
@NicHartley - Je n'ai pas essayé, mais c'était l'une de mes préoccupations lorsque je n'avais pas de mot de passe.Rappelez-vous, mon CV a mon numéro de téléphone et mon adresse, entre ces 3 à 5 minutes, je ne sais pas qui y avait accès, le cas échéant.
Ces types de services ne créent probablement même pas * votre compte tant que vous ne cliquez pas sur le lien.Ils stockent uniquement vos informations pour une éventuelle création de compte ultérieure.
Six réponses:
schroeder
2018-07-04 21:09:23 UTC
view on stackexchange narkive permalink

Ce n'est pas parce que vous n'avez pas défini de mot de passe que vous pouvez accéder à votre compte. Sans voir le code, je ne peux pas être sûr, mais il est possible que vous ne puissiez pas vous connecter à votre compte tant que vous n'avez pas utilisé le lien dans l'e-mail pour définir le mot de passe. Vous utilisiez toujours le même identifiant de session pendant que vous continuiez à utiliser le site.

Est-ce normal de faire ça?Je n'ai jamais vu ce type de création de compte auparavant
"Ordinaire"?Non, mais je l'ai déjà vu.
Cela dépasse le cadre de la question, mais y a-t-il des recherches qui montrent que cette configuration de mot de passe n'est pas sécurisée?Je n'aime tout simplement pas ça, mais c'est peut-être parce que je ne connais pas très bien la sécurité.
Tout dépend de la manière dont il est mis en œuvre.
Il y a des cas où il est très logique d'avoir ce flux, mais ce n'est pas l'un d'entre eux.
Il n'y a rien de fondamentalement incertain à ce sujet.
Je suis d'accord avec @schroeder car lorsque vous cliquez sur le lien, que vous obtenez sur l'e-mail, il vous demande un mot de passe.Alors, maintenant vous devez vous concentrer sur "Le lien que vous avez dans l'e-mail est-il prévisible?"Si c'est le cas, c'est un bug.
J'ai vu des configurations où aucun mot de passe permanent n'a jamais été configuré;au lieu de cela, un mot de passe à usage unique a été défini par e-mail à chaque connexion.
@svavil votre commentaire me rappelle la façon dont Slack fait les choses avec son "lien email magique" au lieu de / comme alternative à votre mot de passe (pour plus de commodité)
Ceci est assez courant.Le compte est désactivé jusqu'à ce que vous cliquiez sur le lien dans l'e-mail et fournissiez un mot de passe.
Il est également possible que, bien que le compte n'ait pas été _disabled_, il n'ait pas non plus été complètement activé.Exiger un e-mail pour vérification n'est pas une pratique inhabituelle, et le site peut vous avoir permis, par exemple, de télécharger votre CV, mais pas de le modifier, jusqu'à ce que vous ayez vérifié votre e-mail.
@ConorMancone Cela n'est vrai que si vous êtes certain que l'e-mail n'a été envoyé que sur des canaux sécurisés et que vous faites confiance à chaque relais entre leur serveur de messagerie et le vôtre.
Kolappan N
2018-07-05 11:09:54 UTC
view on stackexchange narkive permalink

En tant que programmeur qui a créé un flux de travail d'inscription utilisateur comme celui-ci, je peux vous assurer que il n'y a rien à craindre .

Un peu de contexte info

Lorsque vous entrez votre email, aucun compte utilisateur n'est créé (oui, vous l'avez bien lu). L'e-mail, le lien, l'heure d'expiration et d'autres détails sont stockés. Une fois que vous avez vérifié votre adresse e-mail et saisi le mot de passe, un nouveau compte utilisateur est créé.

Après un certain temps, si le compte utilisateur n'est pas vérifié, toutes les informations concernant l'utilisateur seront supprimées.

Donc, ce qui s'est passé ici, c'est que votre adresse e-mail est vérifiée avant le processus d'inscription.

Pourquoi est-ce fait?

Nous avons fait cela pour éviter la création de faux comptes utilisateurs. Cela empêche également quelqu'un de créer accidentellement un compte utilisateur associé à votre adresse e-mail.

Maintenant, pour répondre à vos questions

J'avais raison être sceptique? Dois-je "supprimer" mon compte?

Il n'est pas nécessaire de supprimer votre compte. Il s'agit d'un comportement inhabituel, mais pas dangereux. C'est juste une mesure de sécurité supplémentaire.

Je me suis inquiété à ce sujet sans raison car je n'avais jamais vu ce type d'enregistrement d'utilisateur auparavant.
@Sveta J'admets que nous ne pensions pas qu'un utilisateur puisse devenir suspect.Merci aussi.À partir de maintenant, j'essaie d'inclure un message à ce sujet dans le site Web.
Une autre façon potentielle que cela pourrait fonctionner (j'ai fait cela pour d'autres raisons dans le passé) est de définir un mot de passe qui est généré aléatoirement (évidemment complexe, 64 caractères ou autre), puis sur confirmation par e-mail, vous réinitialisez essentiellement le mot de passe.
@KyleWardle - C'est ce à quoi je m'attendais, un mot de passe temporaire aléatoire, ne pas créer de mot de passe après confirmation par e-mail.
@Sveta qui peut encore arriver, vous n'avez tout simplement jamais vu le mot de passe temporaire.Lorsque vous avez `` créé '' le compte, il pourrait simplement remplacer l'ancien hachage de mot de passe par le nouveau
J'ai vu ce flux de travail du côté du développement et dans ce cas, le compte n'était pas conservé dans la base de données des comptes jusqu'à ce que l'utilisateur ait confirmé son adresse e-mail.Si l'adresse e-mail n'a pas été confirmée dans un délai défini, le compte en attente a été supprimé avec toutes les données personnellement identifiables.
j'ai fait la même chose, mais dans mon cas, c'était parce que nous avions un mot de passe de changement lors de la première connexion, je pensais que les gens pourraient penser à un bon mot de passe, le définir et ensuite le changer (impossible d'utiliser le même mot de passe jamais ouchose avec plus de 60% de similitude de formulation! - caractère apparaissant).donc je viens de faire ce modèle, et il n'y avait pas d'invite de mot de passe lors de la création du compte et nous les laisserions simplement le changer après leur première connexion avec hachage de courrier électronique.
@KyleWardle Bien que ce que vous disiez soit le flux de travail commun (et notre passé), nous l'avons délibérément modifié.Il n'y avait aucun enregistrement dans la table des utilisateurs associée à l'e-mail avant la conformation.Et nous voulons que cela continue.Aucun compte utilisateur, pas même un compte non vérifié pour les faux e-mails (c'est tout le but de ce workflow).Il n'y avait donc ** aucun compte utilisateur ou mot de passe temporaire associé à l'e-mail avant la conformation ** et il n'y avait pas de remplacement du hachage du mot de passe.J'espère que cela fournit plus d'informations.
elsadek
2018-07-04 22:21:07 UTC
view on stackexchange narkive permalink

J'ai cependant remarqué qu'il utilisait mon adresse e-mail et créait un compte utilisateur sans me demander de mot de passe.

Cette approche consiste à fournir une expérience utilisateur avec plus de commodité; ils veulent votre CV et vos détails, mais ils ne veulent pas vous déranger avec le mot de passe, ils vous laissent donc le choix de prendre votre temps pour définir votre mot de passe ou de ne jamais revenir, après tout, ils ont vos coordonnées.

Si vous utilisez un autre navigateur ou une autre machine pour télécharger votre CV avec le même e-mail, vous serez probablement informé qu'un autre compte avec le même e-mail existe déjà, vous ou toute autre personne ne pouvez toujours pas accéder à ce compte sans le lien qu'ils envoyé à vous. (mais pas nécessairement car cela dépend de la façon dont ils gèrent les identifiants uniques)

Ai-je raison d'être sceptique? Dois-je «supprimer» mon compte? Je dis supprimer entre guillemets, car qui sait si cela sera fait.

Cette approche est très courante.
Vous n'êtes pas obligé de supprimer votre compte, sauf si vous en avez un autre raison.

D'accord avec la bonne explication précise, mais l'expression * "très courante sur quelques sites Web" * semble en quelque sorte contradictoire.
@Pacopaco contradictoire à quoi?
Je comprends "* très courant *" dans ce contexte comme "l'approche est utilisée dans beaucoup de sites Web", alors que je comprends "* sur quelques sites Web *" comme "cette approche n'est * pas * utilisée sur de nombreux sites Web"(remarque: l'anglais n'est pas ma langue principale)
Conor Mancone
2018-07-04 21:13:28 UTC
view on stackexchange narkive permalink

Premier point important: à moins de faire quelque chose de vraiment stupide, un compte sans mot de passe n'est pas un risque pour la sécurité. Au lieu de cela, il serait normal que quelqu'un ne puisse pas se connecter à un compte sans mot de passe. De ce point de vue, créer un compte sans mot de passe, envoyer un e-mail à l'utilisateur pour confirmer, et puis lui faire définir un mot de passe n'est ni plus ni moins sûr que la définition d'un mot de passe temporaire. En conséquence, il n'y a pas de réel problème de sécurité ici.

Merci, je ne suis pas préoccupé par la partie CV, c'est la partie mot de passe qui me dérange.
Joseph
2018-07-05 18:27:14 UTC
view on stackexchange narkive permalink

Pensez-y de cette façon: le lien que l'e-mail vous a fourni est, en quelque sorte, votre mot de passe temporaire. C'est un mot de passe temporaire "spécial" qui vous permet de créer un mot de passe réel.

Regardez le lien. Contient-il un long jeton / chaîne? Si tel est le cas (et s'il est correctement implémenté, ce dont vous ne pouvez jamais être sûr à 100%), alors c'est aussi sûr que d'envoyer un mot de passe temporaire littéral.

Maintenant, si le lien le fait ne contient pas de jeton et est une URL courte et devinable, il se peut qu'elle utilise la session que vous avez établie lors de la création du compte. S'il ne le fait pas non plus, alors le système est vraiment vulnérable car n'importe qui pourrait deviner ladite URL et changer le mot de passe du compte associé.

Je viens de le regarder, et il a en effet une longue chaîne.Je n'avais jamais vu ce type de configuration auparavant.J'ai toujours l'habitude de créer un compte utilisateur avec un nom d'utilisateur et un mot de passe avant de faire autre chose.
mentallurg
2018-07-05 02:26:45 UTC
view on stackexchange narkive permalink

Je ne vois aucune raison de supprimer le compte.

  1. et j'ai créé un compte utilisateur ... J'avais un compte utilisateur - Comment savez-vous que c'était vraiment créé? Avez-vous essayé de vous connecter avant de confirmer votre e-mail? Peut-être qu'aucun compte n'a été créé du tout. Il se peut qu'il n'ait été créé qu'après confirmation de votre adresse e-mail.
  2. Il se peut qu'un compte ait été créé, mais il a été désactivé depuis le début, jusqu'à ce que vous confirmiez votre e-mail.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Loading...