Bene, solo perché ti hanno inviato una password in testo semplice non significa che non utilizzino la crittografia quando memorizzi la tua password.
Prima di tutto, all'interno della crittografia ci sono hash e crittografia. Non devono né crittografare né memorizzare la password in testo semplice. Dovrebbero farlo con hash.
Funzione di crittografia : una funzione bidirezionale che trasforma i dati in un modo che è difficile / quasi impossibile da invertire senza conoscere la chiave di decrittazione (non ti annoierò sui tipi di chiave).
Funzione hash : una funzione unica che trasforma i dati in una firma univoca con la quale è apparentemente impossibile determinare quasi tutto ciò che riguarda i dati originali (lunghezza, testo inserito, ecc.). Gli hash sono impossibili da invertire e possono essere scoperti solo da brute-forcing / rainbow table. La forzatura bruta è impossibile anche con enormi quantità di potenza computazionale. Le tabelle Rainbow possono essere contrastate se il sito Web utilizza ciò che chiamiamo "salt" quando genera il proprio hash.
Quindi, il sito Web non dovrebbe nemmeno memorizzare la password crittografata, ma certamente non dovrebbe memorizzarla in testo semplice.
Tuttavia, ciò che potrebbe accadere qui è semplice. Quando ti registri, lo script chiamato potrebbe automaticamente hash la tua password, aggiungere l'hash al database e, all'interno della stessa istanza, inviare l'email usando la funzione mail()
di PHP. Usando questa funzione, la password in chiaro non verrebbe mai memorizzata all'interno di una cartella "Posta inviata" poiché la funzione mail()
non utilizza un'e-mail stabilita da cui inviare.
L'invio della password in testo semplice all'utente tramite e-mail è ancora molto insicuro, ma questo non significa necessariamente che non lo memorizzino sulla loro estremità in modo sicuro.
Versione abbreviata :
So che è stato prolisso e tecnico, ma la versione breve è che quando ti registri, potrebbero inviarlo via e-mail in chiaro, ma poi archiviarlo in modo irrimediabile. È ancora un difetto di sicurezza, ma, se lo fanno, non è così importante. Solo perché l'hanno inviato come e-mail non significa necessariamente che sia archiviato in una cartella "Posta inviata".