Non esiste alcuna legge riguardante le password. Solo la legge che esiste si applica ai dettagli personali, ma una password non è un dettaglio personale. Poiché la password è spesso selezionata dall'utente finale, in base al diritto dell'UE questo conterà anche come consenso, quindi anche se qualcuno inserisse i propri dati personali come password, conterebbe come consenso.
A seconda di cosa protegge la password, potrebbero esserci standard di sicurezza che le leggi riconosceranno, ad esempio i dettagli della carta di credito sono protetti da PCI DSS, le informazioni sulla salute sono protette da HIPAA e così via. Ci sono anche leggi dell'UE che impongono come proteggere i dettagli personali. Questi potrebbero imporre che le password non vengano archiviate in alcun modulo recuperabile.
Tuttavia, è una cattiva pratica mostrare password come questa. Tuttavia, a seconda di cosa protegge la password, potrebbe non essere importante comunque.
Un esempio è che tutte le password sono visibili a un amministratore, quindi un amministratore può accedere come qualsiasi utente. Questo potrebbe essere un modo per risolvere il fatto che alcuni sistemi non hanno funzionalità di "acquisizione" in cui un amministratore può accedere "come" a qualsiasi utente.
Un altro modo può essere che il servizio protetto dalla password sia anche protetto con qualsiasi altro mezzo, come un firewall che richiede un accesso remoto VPN prima di consentire l'accesso al servizio protetto. E la protezione con password su questo servizio non è quindi compatibile con soluzioni Single-sign-on o simili, perché la Società dietro, mostra semplicemente la password per accedere a Questo servizio protetto, perché anche se la password è fuoriuscita, è inutile per un utente malintenzionato chi non possiede gli altri mezzi che richiedono di raggiungere il servizio protetto (come i dettagli di accesso remoto VPN, i certificati e tutti i token OTP).
Se le password sono per le workstation della società in questione e quelle sono protette fisicamente (ad esempio per raggiungere le stanze in cui si trovano le workstation, è comunque necessario uno swipe della scheda di accesso), non importa se le password vengono visualizzate in ogni modo. Hai ancora bisogno di quella carta di accesso per fare del male.
Potrebbe anche darsi che questa password non protegga nulla di valore in ogni caso, vogliono solo una leggera protezione sul sito web per impedire l'accesso pubblico generale, ma le informazioni sono ancora al sicuro per il pubblico da vedere, ma se qualcuno vi hackerà sito web, nessun danno è fatto comunque.
Esempio: manuali del prodotto disponibili per i clienti del prodotto. Se quelle fuoriuscite, non importa comunque.
Esprimi un giudizio se le informazioni sul sito Web interno sono sensibili, ad esempio "Cosa succede se un utente non autorizzato accede a questo sito Web" e agisce in accordo. Se le informazioni sono abbastanza sensibili, potresti voler segnalare questo ad alcuni responsabili della sicurezza o qualcosa del genere.