No início desta semana, eu precisava fazer login em um site (que permanecerá sem nome), mas esqueci minha senha. Não é um problema; houve um agradável “Esqueceu sua senha?” ligação. Digitei meu endereço de e-mail e esperei alguns minutos por uma mensagem com instruções sobre como redefini-lo.
Para minha surpresa, o e-mail veio … com meu nome de usuário e senha em texto simples.
Aqui estão duas razões pelas quais isso é muito, muito ruim:
# 1. Eles acabaram de me enviar as credenciais da minha conta em texto simples por e-mail. Não um link para redefinir minha senha, não um link para responder a algumas perguntas de segurança, mas meu nome de usuário e senha bem na minha frente. Isto é mau.
# 2. Espere um minuto … se eles puderem me enviar minhas credenciais em texto simples, isso deve significar que eles estão armazenando minha senha em um banco de dados como texto simples . Isso é realmente assustador. Você pode encontrar muitas notícias em que uma empresa tem uma violação e as credenciais da conta acabam caindo nas mãos erradas. Se eles forem inteligentes, a empresa está armazenando as senhas com segurança como um hash, mas, como descobri, pode não ser o caso.
Este não é um pequeno site. Você definitivamente ouviu falar dele; eles até anunciam na TV. Estou muito assustado que, no ano de 2013, uma empresa como essa possa ser tão irresponsável com a segurança de dados.
Ok, então qual é a lição aqui? Você tem algumas opções sobre como armazenar credenciais de usuário em seu site. Não sou um especialista, mas há muito material bom por aí. Esta questão do Stack Overflow é um bom lugar para começar. Apenas não armazene sua senha como texto simples. Não estou escrevendo isso para apontar o dedo ou para ser duro com uma empresa ou indivíduo em particular. Eu realmente só quero que as pessoas escrevam aplicativos melhores e mais seguros.