Если «забыли пароль?» страница отправляет ваш старый пароль по электронной почте, является ли это убедительным доказательством того, что они сохранили его в виде простого текста?

Когда сайт отправляет ваш старый пароль по электронной почте, в отличие от необходимости сбрасывать его на сайте, мне интересно, что это означает в отношении их мер безопасности.

Означает ли это, что они хранят пароль в виде простого текста для собственного удобства или они все еще могут использовать шифрование в пароле?

Они могут использовать шифрование, когда пароль хранится в БД, но им вообще не следует хранить его в извлекаемом формате, зашифрованном или иным образом.

Они должны использовать односторонний хэш пароля (плюс соль ). Это означает, что они могут проверить, что введенный вами сейчас пароль совпадает с тем, который вы указали ранее, но они (или какой-нибудь взломщик с доступом к своей БД) не могут выяснить, что это такое. Шифрование пароля означает, что взломщик должен будет найти БД и ключ шифрования, но поскольку ключ должен находиться на сервере, обслуживающем веб-сайт, это вряд ли возможно.

Поэтому, если они могут выслать вам ваш пароль, это означает, что они не следуют хорошо известным рекомендациям по безопасности.

Такая плохая практика является хорошей причиной для использования разных паролей для каждого сайта, на котором вы регистрируетесь .

Даже если он будет зашифрован и безопасно, что электронная почта была ни в коей мере обеспечить.

Одна вещь , которую вы делаете знаете, с помощью электронной почты , пароль теперь почти ,
конечно , хранится в виде обычного текста на многих других местах :

• На их почтовом сервере
• На сервере вашего почтового провайдера
• В браузере вашего компьютера или в директориях хранения электронной почты
• На жестком диске / в журналах всех, кто мог «прислушиваться» по пути
• ... и, возможно, в любой интернет-переход между вами и этим сайтом.

Как сказал Дейв, они могут и, надеюсь, использовать шифрование, но я видел сайты, которые хранят пароли в виде простого текста. Они также могут генерировать новый временный пароль, когда вы нажимаете кнопку «Я забыл свой пароль», которую вы должны изменить при первом входе в систему. Суть в том, что вы не знаете, как они хранят ваш пароль, и если сайт не принадлежит той же компании, от которой вы получаете поддержку, и у них всего несколько человек, вряд ли вы сможете спросить кого-нибудь, кто бы знать, как оно хранится, и даже если бы они знали, вряд ли они скажут вам.

Ответ НЕТ - это не доказательство чего-либо.

В любом случае у вас нет возможности узнать, как пароли хранятся внутри. Скорее всего, они используют базу данных, такую ​​как mysql, и, возможно, они не зашифрованы внутри базы данных. Однако все еще возможно, что они сознательно хранят всю базу данных на некоторых зашифрованных носителях, таких как TrueCrypt . Все, что вы можете сделать, это надеяться, что они приняли достаточно мер для защиты вашей конфиденциальности.