Se una società mi invia una nuova password via SMS / email perché ho fatto clic su "Ho dimenticato la mia password". Significa che la società non sta attualmente taggando le mie password?
Se una società mi invia una nuova password via SMS / email perché ho fatto clic su "Ho dimenticato la mia password". Significa che la società non sta attualmente taggando le mie password?
Se in effetti ti stanno inviando una nuova password (ad esempio: una password generata dal sistema diversa da quella che avevi in precedenza) quando fai clic su "Ho dimenticato la password" allora no, questo non significa che non siano password di hashing. Possono avere la loro funzione di password dimenticata generare una password, cancellarla e memorizzarla nel loro database, e poi (mentre è ancora in memoria) generare un messaggio di posta elettronica che include il valore di testo in chiaro.
Non ho incontrato un sito che in realtà invia una nuova password da anni. Quello che fanno è inviare un link per resettare la password che scade abbastanza presto. La lunga stringa di caratteri non sarà forzata bruta in qualsiasi momento in questo universo ma viene semplicemente abbinata (e il tempo di scadenza è controllato) per consentire di inserire una nuova password a tua scelta. I buoni siti lo faranno su una pagina SSL.
Un utente malintenzionato dovrebbe compromettere la posta in uscita dal sito o la posta in arrivo, probabilmente è più semplice fare un altro percorso.