Sebbene l'archiviazione in chiaro delle password sia una cosa negativa, alcuni tipi di "inversione reversibile" (ad esempio codifica Base64 o "crittografia" ROT13) non sono molto migliori e dovrebbero essere rilevati.
Il modo giusto per controllare il metodo di archiviazione e verifica delle password è esaminare la specifica , cioè il documento che indica quale algoritmo è utilizzato e con quali parametri. Se quel documento esiste, basta leggerlo. Se quel documento non esiste, supponi il peggio; dal punto di vista dell'audit, un comportamento non specificato è grave quanto un comportamento debole.
Guardare il database è simile al reverse engineering: mentre tende a funzionare (si può effettivamente imparare molte cose attraverso il reverse engineering), indica anche che i progettisti non collaborano con i revisori, e ciò renderà l'audit senza significato.
(In fretta, come auditor, potresti accontentarti di una copia del codice sorgente e vedere di persona come il codice elabora le password.Il codice sorgente non è un buon sostituto per la corretta documentazione, ma è ancora molto meglio dell'inferenza da un rapido sguardo a un database.)