За паролите и бизнеса
Днес по повод на ето тази ми публикация се заформи пак стария спор за сайтовете, който изпращат паролите в явен вид.
За какво става дума:
1. Рeгистрирате се някъде. След потвърждаване на акаунта (ако има такава функционалност) ви се изпраща мейл с текст, който съдържа потребителското ви име и паролата в открит вид, тоест admin/qwerty
Добрата практика на сигурността и ползваемостта сочи, че паролата се управлява и се вижда само в доставчика на самоличност и никъде другаде. Ако я забравите - има си процедура за генериране на нова, но ни и да ви се изпраща по електронната поща, която хич не е сигурно място за една парола, пък била за някакъв ниско рисков сайт.
Това е спора, който се опитвам да водя с няколко уеб-компании в българския уеб. Да не говорим, че има и доста по-комплексно решение за всички тях, като OpenID или доставчик на разпределена идентичност.
Ще почнат ли да мислят за сигурността на клиентите си или няма е по-важния въпрос. До тогава аз не се доверявам на такъв тип сайтове и ще си имам една голяма червена точка към тях. Клиенти вече не се печелят само с услуги, трябва и сигурност.
А вие какво мислите по въпроса?
Към момента в черния ми списък са busticket.bg и buzz.bg 
Към черният списък спокойно може да добавиш 95% от държавните/общински институции в България; включително такива, теоретично предполагащи по-сериозна “сигурност”.