Normalnie mnie trafia, jak na którymś już z rzędu portalu po rejestracji w mailu aktywacyjnym dostaję wpisane wcześniej hasło otwartym tekstem.
Szanowni pro(?)jektanci, koderzy i inni macherzy-chałturnicy – ja swoje hasło znam! Nie trzeba mi go przesyłać. A jak będę chciał je upublicznić to wyjdę przed blok o 4 rano i wykrzyczę je w te wszystkie ciemne, zaspane okna!
Poza tym – jak dostaję hasło otwartym tekstem to zaczynam się obawiać, w jakiej formie jest ono przechowywane w tych serwisach – czy przypadkiem nie jest również jawne. Bo jak któryś portalik walnie wtopę jak wykop*, to nawet w tęczowe tabelki nie będzie trza się bawić.
Dziś do niechlubnego grona dołączył FrazPC. Wcześniej wtopiło Pstro, LiberKey (!!!), Wiadomości24, LiveDrive (!!!), VMware (!!!), Blip i DobreProgramy. W owym niechlubnym towarzystwie pokutuje jeszcze wiele innych sajtów, ale szkoda na nie klawiry…
UPDATE (2009-10-20):
Tak mi przyszło, że jeśli twórcy systemów obawiają się zalewu userów, którzy będą mieli problemy ze swoimi hasłami, mogą dodać checkboxa (domyślnie zaznaczonego): „Tak, jestem lamą, nie potrafię zapamiętać swojego hasła, proszę, prześlijcie mi moje hasło mailem, aby cały świat pamiętał je razem ze mną”, który będzie owocował wysłaniem maila z url-em do sajta, loginem i hasłem otwartym tekstem.
* Nie, nie mam jednego hasła do wszystkich portali.
Użytkownik podaje login i hasło. Tworzysz dla niego wpis w bazie danych, zapisujesz salt i hash hasła. Hasło jest już nie do odzyskania. Ale zanim przekierujesz go na stronę powitalną wysyłasz mu maila z podanym hasłem. Jest to jedyny moment, kiedy w serwisie znajduje się hasło użytkownika w otwartym tekście.
Ty pamiętasz hasło – ale zdziwiłbyś się jak wielu innych nie pamięta. Zdziwiłbyś się jeszcze bardziej jak upraszcza dla użytkownika procedury taki mail – znacznie bardziej niż opcja przypomnienia hasła. Bo w tej ostatniej jeszcze trzeba się zastanowić: jaki login niby tam miałem? Nie pamiętam… No to z jakim e-mailem się rejestrowałem? (ja używam innego adresu e-mail dla każdego serwisu).
Masz to kwestię usability vs. security – i jeśli nie masz do czynienia z bankiem to usability jest znacznie ważniejsze.
Ja pamiętam, inni nie – ich problem. Mamy świat pełen haseł i pinów – musieli się nauczyć czytać, niech się nauczą pamiętać hasła.
Po prostu jak widzę tego typu działanie to zastanawiam się, jaki jest target sajta. Bo że Pstro czy Wiadomości24 tak lamią, to jeszcze-jeszcze. Ale np VMware?
Co do safety vs usability – mógłby być checkbox na formularzu rejestracyjnym (domyślnie zaznaczony) – „Tak, jestem lamą, prześlij mi dane autoryzacyjne mailem.”
Pamiętanie to KeePass.
Nadawanie też jest proste. Właśnie z uwagi na wysyłanie i niewiadomocorobienie z hasłami początkowymi na dzień dobry ustawiam hasło proste, na przykład 5P13RD4L4J-5L3D21U, a po pierwszym zalogowaniu zmieniam na właściwe…
@Rdx – w sumie od jakiegoś czasu stosuję twoją metodę z lamohasłem i zmianą, ale jest to upierdliwe…