[pyar] Enviar password por email (Django)

Claudio Freire klaussfreire en gmail.com
Lun Mayo 20 20:31:03 ART 2013


2013/5/20 Martin Chikilian <slacklinucs en gmail.com>:
> Pregunta de curioso nomás: si no guardás el password en la DB, cómo lo
> autenticás después a ese usuario?
>
>
> 2013/5/20 Pedro Ignacio Guridi <pedro.guridi en gmail.com>
>>
>> El día 20 de mayo de 2013 19:48, Sebastian Bassi
>> <sebastian.bassi en globant.com> escribió:
>> > ¿Se les ocurre una manera de enviar el password en el mail de activación
>> > sin
>> > tener que guardarlo en la base de datos? Es un sitio que no guarda
>> > información personal de los usuarios.
>> > La idea es poner en el email de activación (el que dice que vayas a tal
>> > link
>> > para activar tu cuenta) el password (en clear text, para que lo lea un
>> > humano).
>> > Para ponerlo en el template tengo que ponerlo en el template processor,
>> > pero
>> > para eso tiene que estar en la DB y no quiero guardar el password en la
>> > DB.
>>
>> Porque querrias mandar el password en plano?, es muy inseguro.. y de
>> vista al usuario, es medio
>> bajon.., porque es como casi seguro que guardas el pasword en plano en
>> tu server. (si, capaz me voy
>> muy paranoico.., pero digo.. me parece un caso.., personalmente no me
>> copa nada que el server
>> me mande x mail un pass en plano, y que lo guarde asi, por si hackean
>> la DB ponele..)


Así[0], o de una de las miles de maneras de hacer lo mismo[1].

[0] http://en.wikipedia.org/wiki/Zero-knowledge_password_proof
[1] http://csrc.nist.gov/archive/kba/Presentations/Day%202/Jablon-Methods%20for%20KBA.pdf



More information about the pyar mailing list