Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我的老板不想散列任何用户密码。他希望能够查看所有密码并重新发送忘记的密码。
这是一个好习惯吗?
另外 - 如何在 CakePHP 1.3 Auth 中关闭密码散列?
不要在任何地方存储纯文本密码。如果存在任何形式的安全漏洞,您的用户可能在其他地方使用的密码将很容易被访问。您应该加密并添加盐或哈希。
你的老板想知道每个人的密码,我不在乎:我的密码是秘密的。为什么不在这里发布他们的密码,看看他/她如何喜欢知道他们秘密密码的陌生人。
不要重新发送忘记的密码,发送一个链接,您可以在其中更改密码。
这是基本安全101。
当然不是,这是非常糟糕的做法。如果有人忘记了他的密码,密码应该被重置。并且应用程序应该有能力这样做。找回密码的能力是一个很大的风险,没有人可以对他的密码负责。