Compte d'utilisateur sans mot de passe
Je recherche actuellement un emploi, et parfois je rencontre des sites qui ne sont que d'énormes bases de données d'offres d'emploi complètes, et avant de postuler, vous devez créer un compte. Je suis tombé sur n site , mais je suis sceptique quant à ses pratiques de sécurité.
Lorsque j'ai trouvé une offre d'emploi à laquelle je voulais postuler, j'ai demandé mon adresse e-mail, je l'ai donc saisie. Un pop-up m'a demandé un CV et les coordonnées habituelles. J'ai fourni ce dont j'avais besoin et j'ai envoyé ma candidature.
J'ai cependant remarqué qu'il a utilisé mon adresse e-mail et créé un compte utilisateur sans me demander un mot de passe.
Immédiatement, j'ai été alarmé par cela, alors j'ai vérifié mon e-mail en pensant que le site m'a fourni un mot de passe temporaire qu'il me fallait changer, seulement pour découvrir que je devais confirmer mon adresse e-mail et ensuite être invité à entrez un mot de passe. De mon point de vue, j'ai eu un compte d'utilisateur sans mot de passe pendant environ 3 à 5 minutes.
Ai-je eu raison d'être sceptique? Dois-je supprimer mon compte?
Ce n'est pas parce que vous n'avez pas défini de mot de passe que votre compte est accessible. Sans voir le code, je ne suis pas sûr, mais il est possible que vous ne puissiez pas vous connecter à votre compte tant que vous n'avez pas utilisé le lien dans l'e-mail pour définir le mot de passe. Vous utilisiez toujours le même ID de session pendant que vous continuiez à utiliser le site.
En tant que programmeur qui a créé un workflow d'inscription comme celui-ci, je peux vous assurer que il n'y a rien à craindre.
n peu d'informations de fond
Lorsque vous saisissez votre e-mail, aucun compte utilisateur n'est créé (oui, vous avez bien lu). L'email, le lien, l'heure d'expiration et d'autres détails sont stockés. Une fois que vous avez vérifié votre e-mail et saisi le mot de passe, un nouveau compte utilisateur est créé.
Après un certain temps, si le compte d'utilisateur n'est pas vérifié, toutes les informations concernant l'utilisateur seront supprimées.
Donc, ce qui s'est passé ici, c'est que votre e-mail est vérifié avant le processus d'inscription.
Pourquoi est-ce fait?
Nous l'avons fait pour éviter la création de faux comptes d'utilisateurs. Cela empêche également quelqu'un de créer accidentellement un compte d'utilisateur associé à votre e-mail.
Maintenant pour répondre à vos questions
Ai-je eu raison d'être sceptique? Dois-je "supprimer" mon compte?
Il n'est pas nécessaire de supprimer votre compte. Il s'agit d'un comportement inhabituel mais pas nocif. Ce n'est qu'une mesure de sécurité supplémentaire.
J'ai cependant remarqué qu'il a utilisé mon adresse e-mail et créé un compte utilisateur sans me demander de mot de passe.
Cette approche consiste à offrir une expérience utilisateur plus pratique; ils veulent votre curriculum vitae et vos détails, mais ils ne veulent pas vous déranger avec la recherche de mot de passe, ils vous laissent donc le choix de prendre votre temps pour définir votre mot de passe ou de ne jamais revenir, après tout, ils ont vos coordonnées.
Si vous utilisez un autre navigateur ou une autre machine pour télécharger votre CV avec le même e-mail, vous serez probablement informé qu'un autre compte avec le même e-mail existe déjà, vous ou toute autre personne ne pouvez toujours pas accéder à ce compte sans le lien qu'ils vous ont envoyé. (mais pas nécessairement car cela dépend de la façon dont ils gèrent les identifiants uniques)
Ai-je eu raison d'être sceptique? Dois-je "supprimer" mon compte? Je dis supprimer entre guillemets, car qui sait si cela se fera.
Cette approche est très courante.
Vous n'avez pas à supprimer votre compte, sauf si vous avez une autre raison.
Premier point important: à moins qu'ils aient fait quelque chose de vraiment stupide, un compte sans mot de passe n'est pas un risque pour la sécurité. Au lieu de cela, il serait normal que quelqu'un ne puisse pas se connecter à un compte sans mot de passe. Dans cette perspective, créer un compte sans mot de passe, envoyer un e-mail à l'utilisateur pour le confirmer et puis leur demander de définir un mot de passe n'est pas plus ou moins sécurisé que de définir un Mot de passe temporaire. En conséquence, il n'y a pas de réel problème de sécurité ici.
Pensez-y de cette façon: le lien que l'e-mail vous a fourni est, en quelque sorte, votre mot de passe temporaire. Il s'agit d'un mot de passe temporaire "spécial" qui vous permet de créer un mot de passe réel.
Regardez le lien. Contient-il un long jeton/chaîne? Si c'est le cas (et s'il est implémenté correctement, dont vous ne pouvez jamais être sûr à 100%), il est aussi sûr que d'envoyer un mot de passe temporaire littéral.
Maintenant, si le lien contient pas un jeton et est une URL courte et devinable, il peut utiliser la session que vous avez établie en créant le compte. S'il ne le fait pas non plus, alors le système est vraiment vulnérable car n'importe qui pourrait deviner ladite URL et changer le mot de passe du compte associé.
Je ne vois aucune raison de supprimer le compte.
- et créé un compte utilisateur ... j'avais un compte utilisateur - Comment savez-vous qu'il a vraiment été créé? Avez-vous essayé de vous connecter avant de confirmer votre e-mail? Il se peut qu'aucun compte n'ait été créé du tout. Il se peut qu'il n'ait été créé qu'après avoir confirmé votre e-mail.
- Peut-être que le compte a été créé mais a été désactivé depuis le début, jusqu'à ce que vous confirmiez votre adresse e-mail.