我的老板不想散列任何用户密码。他希望能够查看所有密码并重新发送被遗忘的密码。
这是一个好习惯吗?
另外 - 如何在CakePHP 1.3 Auth中关闭密码散列?
答案 0 :(得分:2)
不要在任何地方存储纯文本密码。如果存在任何形式的安全漏洞,您的用户可能在其他地方使用的密码将很容易访问。你应该encrypt and add a salt, or hash。
你的老板想知道每个人的密码,我不在乎:我的密码是秘密的。为什么不在这里发布他们的密码,看看他/她是如何知道他们知道他们的密码的未知的人。
不要重新发送忘记的密码,发送一个可以更改密码的链接。
答案 1 :(得分:1)
当然不是,这是非常糟糕的做法。 如果有人忘记了密码,则应重置密码。应用程序应该有 这样做的能力。检索密码的能力是一个很大的风险,没有人可以对他的密码负责。