@Limit fornisce una buona risposta per le applicazioni web, ma mi piacerebbe rispondere alla tua domanda per il caso generale.
es. hai un'applicazione, che ti affidi alla tua password in modo che possa firmarti in altri servizi. Un buon esempio potrebbe essere il tuo client di posta (sul tuo smartphone o sul tuo pc desktop), che deve memorizzare nome utente e password per l'autenticazione con il server di posta. Un altro esempio di applicazioni che fanno questo sarebbe browser web in cui è possibile memorizzare le credenziali di accesso per vari siti Web.
Questi agenti software hanno bisogno di accedere alla tua password in testo semplice, quindi la soluzione standard per mantenere una password sicura (hashing della password) non può essere utilizzata.
La risposta breve alla tua domanda in questo caso: hai perfettamente ragione, questo non è sicuro e le tue credenziali non possono essere protette in modo affidabile ( supponendo che non ti venga chiesto dal client di posta / browser per fornire una password principale, cioè .
La risposta più lunga : alcuni sistemi operativi forniscono un tipo di password sicura, che in pratica è un file che contiene le password, ma il file viene crittografato prima di memorizzarlo su disco.
Per crittografare e decifrare, il sistema operativo ha bisogno di una chiave. Ne genera uno casuale e quindi crittografa questa chiave con la password che utilizzi per accedere all'account utente del sistema operativo. Ogni volta che si effettua l'accesso, la password inserita viene utilizzata per decrittografare la chiave casuale. Quindi questo aggiunge un livello di sicurezza (che può essere aggirato dal malware, ma almeno non è sufficiente guardare solo il file della password per rubare le password). Naturalmente, se non hai alcuna autenticazione di accesso configurata per il tuo account utente os, questo è inutile, perché il sistema operativo non avrà alcun segreto da parte tua per crittografare e decrittografare la chiave del file con password.
I sistemi operativi che forniscono questo servizio sicuro per le password per le applicazioni utente sono, per quanto ne so, in minoranza. Ma ci sono alcuni sistemi che funzionano quasi così. Ad esempio, l'ambiente desktop KDE su Linux fornisce tale password sicura; non è collegato alla password dell'account utente di sistema, quindi è necessario fornire una password aggiuntiva, ma solo una volta per sessione. Tutti gli agenti software che utilizzano la password sicura possono quindi accedere alle rispettive password.
(A parte: i sistemi operativi per smartphone come iOS e Android forniscono la crittografia trasparente di tutti i dati sul telefono. Se abiliti questo, funziona esattamente come il sistema che ho descritto per la crittografia della password sicura - il tuo segno- in segreto (es. pin code, password) viene utilizzato per crittografare la chiave master che crittografa e decrittografa i dati memorizzati)