Sono uno dei co-fondatori di plaintextoffenders.com . Recentemente abbiamo ricevuto una richiesta per cui non sono sicuro se ci sia un mezzo di attacco o meno. Il sito in questione è un hosting / VPS / etc. società.
Quando qualcuno fa clic su Password dimenticata, viene inviata un'email all'indirizzo dell'utente. Specifica un indirizzo di reset della password (buono) che è limitato nel tempo a 15 minuti (eccellente) ma contiene anche la password temporanea dell'utente per quei 15 minuti (eh?).
Anche se questo non indica chiaramente che stiano memorizzando le password in testo normale, mi ha fatto pensare se l'invio della password temporanea, insieme al link di ripristino limitato nel tempo, avesse implicazioni sulla sicurezza.
Aggiornamento : dopo aver letto attentamente le risposte e aver letto attentamente il testo dell'e-mail, ho scoperto che la password fornita non è la password temporanea post-ripristino, ma la password che verrà utilizzata permanentemente dopo aver fatto clic sul link di ripristino. Questo si adatta al nostro mandato e il post sarà pubblicato. Grazie a tutti per le vostre risposte!