Niezaszyfrowane hasło w mailu?

Hasło w mailu? I to niezaszyfrowane?!

Brzmi jak błąd początkującego, prawda? A jednak – w wielu sklepach internetowych po założeniu konta Klient dostaje hasło e-mailem. Co więcej, w formie niezaszyfrowanej, czystym tekstem. No to jak to? Gdzie to całe RODO, gdzie bezpieczeństwo, gdzie szyfrowanie?! Spokojnie. Już tłumaczę, dlaczego to nie jest tak szalone, jak się wydaje – i dlaczego w praktyce to rozwiązanie ratuje dziesiątki logowań dziennie.

Dlaczego w ogóle wysyłamy hasło mailem?

Powód jest bardzo prosty: żebyś miał do niego dostęp. Tak zwyczajnie, bez kombinowania.

W praktyce wygląda to tak – Klient zakłada konto, wpisuje hasło, klika „zarejestruj” i... często od razu o tym haśle zapomina albo wpisuje je z literówką. Potem próbuje się zalogować, nie działa, więc robi reset hasła. Tam znowu literówka – i kończy się na wiadomości do właściciela sklepu: „Nie mogę się zalogować, coś nie działa!”. Wysłanie hasła mailem rozwiązuje 99% takich sytuacji. Bo Klient widzi czarno na białym, jakie hasło ustawił. I już nie musi zgadywać.

Jak długo hasło jest niezaszyfrowane?

No właśnie: czy to naprawdę takie „niezaszyfrowane”? Technicznie... nie.

Jak wygląda cały proces?

1. Klient uzupełnia formularz, wpisuje hasło (jest niezaszyfrowane).
2. Klient klika "Załóż konto" niezaszyfrowane hasło leci zaszyfrowanym połączeniem SSL do serwera.
3. Na serwerze mamy je niezaszyfrowane, aby:
   1. Zaszyfrować hasło i zapisać je do bazy danych 
   2. Wysłać hasło w formie niezaszyfrowanej klientowi
4. Serwer przekierowuje klienta na stronę z informacją o założeniu konta i od tego momentu nie mamy już dostępu do hasła w formie niezaszyfrowanej. Od tej pory jest tylko w bazie danych w formie zaszyfrowanej. 

Ważne!
Nikt nie widzi niezaszyfrowanego hasła w momencie jego szyfrowania i wysyłania na maila.
Administrator serwisu nie archiwizuje tych danych.