In astratto, ovviamente è una cattiva idea, per tutti gli altri motivi validi (ad esempio "archiviarlo in testo normale", "intercettazione", "dirottamento e ripetizione dell'account", ecc.) che altri intervistati hanno affermato.
Il problema che vorrei sollevare, tuttavia, come è quasi sempre il caso delle domande relative alla sicurezza IT come questa, è "rispetto a" cosa "?" Se si tratta di un metodo alternativo, meno vulnerabile all'intercettazione (preferibilmente fuori banda, ad esempio ".zip della password in un archivio crittografato, inviarlo via e-mail e poi chiamarti a voce e dettare la password" ) è disponibile il metodo, quindi ovviamente dovrebbe essere usato.
Ma cosa succede se nessun canale alternativo è disponibile, o è pratico?
Posso affermare che se la password che un utente finale probabilmente sceglierà è "password" o "123456", è intrinsecamente molto più vulnerabile di avere una password complessa inviata via e-mail a quell'utente, con le istruzioni usarlo solo per un tempo limitato e poi cambiarlo in qualcosa di altrettanto complesso (o memorizzarlo in un gestore di password come KeePass, LastPass o Password Safe, e quindi eliminare la versione in chiaro)?
A meno che il tuo nome sia "Snowden" o "Assange", la probabilità relativa che tutte le tue comunicazioni siano costantemente monitorate - e quindi sei a rischio di intercettare il flusso di dati TCP / IP e quindi di intercettare la tua password - In realtà è molto basso. Considerando che, il rischio che una password debole possa essere hackerata, è piuttosto alto.
Quindi tutto si riduce a una situazione di analisi del rischio. Se ti trovi in un ambiente ad alto rischio (ad esempio sei una banca e hai bisogno di comunicare le credenziali dell'account ai clienti ad alto reddito), allora sì, QUALSIASI forma di comunicazione con password che possa essere intercettata, probabilmente non è appropriata. Se, d'altro canto, stai organizzando il forum di discussione on-line per l'Auxilliary Floral Arrangement Society di Peoria, Ohio, e devi fornire ai membri un accesso protetto da password al forum "Pubblica le tue ultime combinazioni di Flower Power", quindi le conseguenze di un'intercettazione della password di successo e di un successivo attacco online potrebbero essere molto inferiori e forse un maggiore livello di rischio nella comunicazione delle credenziali può essere accettato.