Здравствуйте.
Только зарегистрировался на этой партнерке, и сразу их косяк: пришло письмо с подтверждением регистрации, в котором указан пароль, который я вводил, из чего делаю выводы, что пароли они хранят в незашифрованном виде, что недопустимо в современных реалиях. Этим (хранение паролей в открытом виде) грешат многие сайты (не только партнерки), но это не может быть оправданием, например, я не пользуюсь услугами таких сайтов.
Исправьте, пожалуйста, свой большой косяк и храниете в базе данных не пароли в открытом виде, а их хеши.
Этот отзыв отражает субъективное мнение пользователя, а не официальную позицию редакции.
В Вашем сообщении Вы обратили внимание на две гипотетические уязвимости - запись пароля в открытом виде в БД и наличие пароля в открытом виде в сообщении на почте пользователя.
Отвечаем по пунктам:
1. Пароль на вход в аккаунт не хранится в базе данных в открытом виде, пароли в базе хранятся в виде хэша, что делает невозможным какую либо утечку паролей в открытом виде.
Пароль присылается однократно на почту при создании аккаунта ДО записи в базу хэша. Еще раз - пароль НЕ сохраняется никуда и НЕ хранится в открытом виде в БД, по этому предполагаемой уязвимости по первому пункту у нас нет и быть не может.
2. Большинство интернет-сервисов восстанавливают пароль через почту, и большинство сервисов присылают какие-либо данные при регистрации пользователю, это может быть логин или логин и пароль. Безопасность в любом случае определяется надежностью Вашего почтового сервиса и Вашего пароля к почте. Равно опасно как наличие письма о регистрации с открытым паролем, так и возможность сделать "восстановление пароля". В 99% случаев при утечке пароля у пользователей взламывают почту и делают "восстановление" пароля (письмо о котором потом удаляют), так что отсутствие письма с открытым паролем никак не защитит Ваш аккаунт при взломе почты, пароли просто получат при восстановлении.
Таким образом наличие пароля в открытом виде на почте реально не ухудшает безопасность данных на нашем сайте. При этом мы понимаем, что пароль в открытом виде, даже на личной почте, не является лучшей практикой и благодарим Вас за то, что обратили на это внимание. М
После вашего обращения, мы сделали так, чтобы пароль при регистрации более не приходил на почту.
Мы не обременяем пользователей излишними действиями, такими как многофакторная авторизации, и какими-то еще ограничениями при входе в аккаунт, поскольку пользователи используют аккаунт каждый день, и это просто не удобно. В первую очередь мы защищаем данные, которые наиболее интересы "взломщикам". Мы защищаем пользователей от несанкционированной смены платежных данных, помимо множества технических средств безопасности, на каждой выплате мы автоматически верифицируем платежные реквизиты. Смена реквизитов так же верифицируется менеджерами. По этому даже в случае утечки пароля несанкционированно вывести деньги с аккаунта невозможно.
Спасибо за отзыв и ваше мнение.