¿Puede un administrador ver las contraseñas de los usuarios registrados?

Question

¿Puede un administrador ver las contraseñas de los usuarios registrados?

24 abr 2015, 12:17:38

Vistas: 18.5K

Votos: 7

Tengo un sitio donde creo cuentas para usuarios y les entrego credenciales de acceso.

Ahora, supongamos que un usuario olvidó su contraseña y quiere restablecerla. Hace clic en el enlace "¿Perdiste tu contraseña?" en la página de inicio de sesión y una nueva contraseña se envía automáticamente a su correo.

Como administrador, ¿hay alguna forma de que pueda ver esta nueva contraseña del usuario sin tener que restablecerla?

La razón de esto es que siempre debo tener acceso a las cuentas de los usuarios registrados.

¡Gracias!

luqo33

248

admin wp admin usuarios acceso usuario

Comentarios

Incluso si quieres suplantar al usuario, no deberías iniciar sesión usando su contraseña. Deberías usar (o implementar si es necesario) una función especial de suplantación accesible para los administradores.

CodesInChaos

24 abr 2015 14:59:49

@CodesInChaos, ¿podrías elaborar al respecto? Gracias

luqo33

24 abr 2015 15:12:50

Todas las respuestas a la pregunta

Comentarios

Esto es razonable. De hecho, me di cuenta de que era una mala idea después de publicar esta pregunta. Gracias por la explicación detallada.

luqo33

24 abr 2015 13:03:23

cybmeta 20.6K · Accepted Answer · 2015-04-24T12:52:15Z

Las contraseñas de los usuarios se almacenan con cifrado unidireccional. Incluso mirando la base de datos no puedes conocer la contraseña. Esta es una característica básica de privacidad. La mayoría de los usuarios utilizan la misma contraseña en múltiples sitios; imagina los riesgos potenciales para los usuarios si el administrador del sitio puede acceder a sus contraseñas. Puedes interceptar la contraseña y obtener acceso a ella, pero eso es una práctica realmente muy mala. Si supiera que un sitio donde me registro almacena mi contraseña de forma legible para humanos, o intenta interceptar la contraseña, probablemente lo reportaría a la agencia de protección de privacidad de mi país, quizás no, pero definitivamente dejaría de usar ese sitio web.

Dicho esto, tú, como administrador, no necesitas la contraseña para acceder al perfil del usuario o a sus datos. Los administradores tienen acceso a la mayoría de los campos del perfil directamente en el área de administración, y por supuesto a través de la base de datos. Los campos nuevos o personalizados en los perfiles de usuario se pueden codificar con o sin acceso de administrador, eso depende totalmente de ti. Así que no entiendo el punto de querer obtener las contraseñas de los usuarios.