Cakephp 我的老板不想散列任何用户密码

我的老板不想散列任何用户密码。他希望能够查看所有密码并重新发送忘记的密码

这是一种好的做法吗

---

另外-如何在CakePHP 1.3 Auth中关闭密码哈希？

当然不是，这是非常糟糕的做法。 如果有人忘记了密码，应该重新设置密码。并且应用程序应该具有

---

这样做的能力。检索密码的能力是一个很大的风险，没有人可以对他的密码负责

不要在任何地方存储纯文本密码。如果存在任何形式的安全漏洞，您的用户可能在其他地方使用的密码将很容易访问。你应该

你的老板想知道每个人的密码，我毫不在乎：我的密码是秘密的。为什么不把他们的密码贴在这里，看看他/她是多么喜欢知道他们秘密密码的陌生人

不要重新发送忘记的密码，发送一个可以更改密码的链接

---

这就是。

做老板让你做的蠢事？是的，如果你想保住这份工作，这通常是一种很好的做法。这是一个非常糟糕的主意，更不用说在某些司法管辖区这可能是非法的。通过电子邮件重新发送密码也很不安全。@alvarog.Vicario更好的办法是说服你的老板这不是一个好主意，并且这样做会让他认为他自己意识到了这一点。我可以理解“重新发送忘记的密码”，但他为什么要看到所有的密码？你可以让他成为一个管理员帐户，可以访问系统中的所有内容。你可以通过security.se获得更好或更多的答案。你可以通过excell发送密码。这有多大风险？因为许多用户会在不同的服务中使用相同的密码。愚蠢，我知道。然后，当（不是如果）某个坏蛋用明文形式的所有密码控制了你的数据库时，他们可以将你的用户强加于许多其他网站和服务上。甚至可能包括他们的邮件和银行账户。小心你的措辞散列=加密