Nelle ultime due settimane mi sono imbattuto in due aziende piuttosto grandi che sembrano non avere una sicurezza delle password rigorosa:
- Tesco - memorizzano le password in un formato "crittografato", ma possono decrittografare la password e poi inviarle via email quando fai clic su "Ho dimenticato la mia password"
- Plusnet - memorizzano nuovamente le password in una forma di testo semplice / in formato crittografato, ma le decodificano e le mostrano quando fai clic su "Ho dimenticato la mia password". Non male come Tesco, non ti inviano la password via email, ma inviano un link "recupera password" e facendo clic su questa si apre una finestra del browser che mostra la tua password in testo normale (ovviamente su una connessione https).
La mia domanda è, qual è la ragione di questo? Sia Tesco che Plusnet memorizzano i dati della carta di credito del cliente, quindi sicuramente la sicurezza dovrebbe essere in prima linea nella loro mentalità.
Voglio sapere se ho torto credendo che stiano memorizzando le password in modo insicuro. Avranno processi, politiche e tecnologie in atto che rendono questa situazione sufficientemente sicura che il modo in cui memorizzano le loro password è banale?
Avranno una speciale crittografia a due vie che non può essere decifrata dagli hacker? per esempio. nello stesso modo in cui https o API funzionano con una chiave privata?
Avranno un'adeguata sicurezza sui loro database in modo tale che questo non sarà mai un problema, gli hacker non avranno mai accesso ai dati? (A giudicare da linkedin, sony e yahoo questo sarà sempre un problema!).
O ho ragione nel ritenere che sia sbagliato, e in tal caso perché? La compagnia è ignorante? cioè non capiscono / sanno che quello che stanno facendo è sbagliato? Sono arroganti? pensano che nessuno li hackerà mai? O è qualcos'altro?
Grazie.