Per un ISP è molto probabile che memorizzino la password in formato testo o utilizzando una crittografia reversibile. Questa crittografia reversibile non è un hash come richiesto dalla risposta.
Gli ISP tendono a non utilizzare gli hash unidirezionali perché un certo numero di vecchi protocolli usa la password come parte di un challenge-response autenticazione digest.
Il più notevole è APOP , che è un'estensione del vecchio protocollo Post Office. Nel normale POP il nome utente e la password sono trasmessi in chiaro, il che è ovviamente negativo. Quindi la gente pensava a un'estensione che impediva attacchi sniffing e replaying: il server invia un identificatore univoco (per qualche strana ragione è chiamato timestamp nelle specifiche sebbene sia più). Il client concatena questo identificatore e la password prima di calcolare l'hash MD5. Il server deve fare lo stesso calcolo, quindi ha bisogno della password chiara. Questo protocollo è obsoleto; Dovrebbe essere usato POP su SSL. Ma è ancora di uso comune.
Inoltre, gli ISP spesso offrono un certo numero di servizi e far sì che tutti utilizzino un meccanismo di autenticazione centrale è una grande sfida. Così spesso le password vengono replicate su quei server. Poiché questa replica deve essere riproducibile in qualsiasi momento per ragioni di affidabilità, la password del testo in chiaro viene spesso memorizzata. Se non è possibile un'autenticazione centrale, sarebbe comunque preferibile memorizzare i diversi formati crittografati nell'origine della replica anziché nella semplice password.
Ovviamente pratica estremamente scorretta per fornire quelle password ai clienti e supporto di primo livello personale. L'invio di e-mail in chiaro rende ancora peggio.