Un amministratore può verificare le password degli utenti registrati?

Question

Un amministratore può verificare le password degli utenti registrati?

24 apr 2015, 12:17:38

Visualizzazioni: 18.5K

Voti: 7

Ho un sito dove creo account per gli utenti e consegno loro le credenziali di accesso.

Ora, supponiamo che un utente abbia dimenticato la sua password e voglia reimpostarla. Clicca sul link "Password dimenticata?" nella pagina di login e una nuova password viene automaticamente inviata alla sua email.

Essendo l'amministratore, c'è qualche modo per poter verificare la nuova password di questo utente senza doverla reimpostare?

Il motivo è che devo sempre avere accesso agli account degli utenti registrati.

Grazie!

luqo33

248

admin wp admin utenti accesso utente

Commenti

Anche se vuoi impersonare l'utente, non dovresti accedere utilizzando la sua password. Dovresti usare (o implementare se necessario) una speciale funzionalità di impersonamento accessibile agli amministratori.

CodesInChaos

24 apr 2015 14:59:49

@CodesInChaos, potresti eventualmente approfondire? Grazie

luqo33

24 apr 2015 15:12:50

Tutte le risposte alla domanda

Commenti

Questo è ragionevole. In realtà, mi sono reso conto che era una pessima idea dopo aver pubblicato questa domanda. Grazie per la spiegazione dettagliata.

luqo33

24 apr 2015 13:03:23

cybmeta 20.6K · Accepted Answer · 2015-04-24T12:52:15Z

Le password degli utenti sono memorizzate con crittografia unidirezionale. Anche guardando il database non è possibile conoscere la password. Questa è una funzionalità di base per la privacy. La maggior parte degli utenti utilizza la stessa password su più siti; immagina i potenziali rischi per gli utenti se l'amministratore del sito può accedere alle loro password. Puoi intercettare la password e ottenere l'accesso, ma questa è una pratica davvero molto sconsigliata. Se sapessi che un sito dove mi registro memorizza la mia password in formato leggibile, o cerca di intercettarla, probabilmente segnalerei l'ente per la protezione della privacy nel mio paese, forse no, ma sicuramente smetterei di utilizzare quel sito web.

Detto questo, tu, come amministratore, non hai bisogno della password per accedere al profilo utente o ai dati dell'utente. Gli amministratori hanno accesso alla maggior parte dei campi del profilo direttamente nell'area di amministrazione e ovviamente attraverso il database. Nuovi campi personalizzati nei profili utente possono essere codificati con o senza accesso amministrativo, dipende totalmente da te. Quindi non capisco il motivo per cui dovresti voler ottenere le password degli utenti.