Когда сайт отправляет ваш старый пароль по электронной почте, в отличие от необходимости сбрасывать его на сайте, мне интересно, что это означает в отношении их мер безопасности.
Означает ли это, что они хранят пароль в виде простого текста для собственного удобства или они все равно могут использовать шифрование в пароле?
Они могут использовать шифрование, когда пароль хранится в БД, но им вообще не следует хранить его в извлекаемом формате, зашифрованном или иным образом.
Они должны использовать односторонний хэш пароля (плюс соль). Это означает, что они могут проверить, что введенный вами сейчас пароль совпадает с тем, который вы указали ранее, но они (или какой-нибудь взломщик с доступом к своей БД) не могут выяснить, что это такое. Шифрование пароля означает, что взломщик должен будет найти БД и ключ шифрования, но, поскольку ключ должен находиться на сервере, обслуживающем веб-сайт, это вряд ли возможно.
Поэтому, если они могут выслать вам ваш пароль, это означает, что они не следуют хорошо известным рекомендациям по безопасности.
Такая плохая практика является хорошей причиной для использования разных паролей для каждого сайта, на котором вы регистрируетесь.
Даже если он зашифрован и безопасно, что электронная почта никак не безопасной.
Одна вещь , которую вы знаете, с помощью электронной почты, пароль теперь почти
конечно, хранится в виде простого текста во многих других местах:
Как сказал Дейв, они могут и, надеюсь, использовать шифрование, но я видел сайты, которые хранят пароли в виде простого текста. Они также могут генерировать новый временный пароль, когда вы нажимаете кнопку «Я забыл свой пароль», которую вы должны изменить при первом входе в систему. Суть в том, что вы не знаете, как они хранят ваш пароль, и если сайт не принадлежит той же компании, от которой вы получаете поддержку, и у них всего несколько человек, вряд ли вы сможете спросить кого-либо, кто знать, как оно хранится, и даже если они знают, вряд ли они скажут вам.
Ответ НЕТ - это не доказательство чего-либо.
В любом случае у вас нет возможности узнать, как пароли хранятся внутри. Скорее всего, они используют базу данных, такую как mysql, и, возможно, они не зашифрованы внутри базы данных. Тем не менее, все еще возможно, что они сознательно хранят всю базу данных на некоторых зашифрованных носителях, таких как TrueCrypt. Все, что вы можете сделать, это надеяться, что они приняли достаточно мер для защиты вашей конфиденциальности.
