Il sito Web mi ha inviato la mia nuova password (dopo il ripristino) in testo chiaro [duplicato]

No, questo non indica se memorizza la tua password in formato testo o con crittografia reversibile. Loro potrebbero essere, ma ciò lascia altre possibilità aperte. Tutto ciò che sai per certo è che hanno creato una nuova password e ti hanno inviato via email la nuova password. Quella password potrebbe essere opportunamente sottoposta a hash per la memorizzazione nel loro sistema.

Tuttavia; si tratta di una cattiva pratica di sicurezza e mi farebbe assolutamente piacere a loro in merito, e faccio notare che una pratica così scarsa da un punto di vista ti rende sospettoso della qualità delle loro pratiche di sicurezza in altri aspetti.

Le email non sono sicure e non dovrebbero fare reimpostazioni di password inviando comunque una nuova password in qualsiasi forma.

EDIT:

I solo ha installato un'applicazione di trasferimento di file open source su uno dei nostri server per verificarlo.

Ho confermato che si tratta di password di hashing per l'archiviazione nel database, che ha aumentato il mio livello di comfort. Poi ho creato un paio di account e mi sono reso conto che la cosa sciatta invia le password al momento della creazione di un account in testo semplice al nuovo titolare dell'account.

Sono fuori di me. Uno di questi era in realtà un account abbastanza sensibile, per il quale il titolare dell'account non doveva assolutamente cambiare la password (ma ora sarà costretta a farlo).

Questa assurdità assolutamente stupida e assolutamente non sicura deve finire. Una password in chiaro non dovrebbe mai, mai e poi mai, essere mai inviata per email. Mai. Fine della discussione. L'intero modo di pensare dovrebbe essere annullato istantaneamente ogni volta che viene rilevato, e i siti web pubblici che si impegnano sono tali pratiche dovrebbero essere puniti per questo.

END EDIT:

Dovrebbero essere reimpostati tramite password inviando qualcosa come un link di reset con un codice / token (lungo, complesso), che consente di scegliere la propria nuova password, su una connessione sicura (HTTPS). Idealmente, facendo clic su quel collegamento, ti verrà comunque richiesto di rispondere a un'altra domanda di sicurezza o due, al fine di confermare la tua identità. O dovrebbe essere implementata una sorta di 2FA, in cui si fa clic sul collegamento, quindi è necessario digitare un codice che è stato inviato al telefono. E io ancora sento che dovresti rispondere ad almeno una domanda di sicurezza in più, perché 2FA è ancora totalmente suscettibile di avere il telefono rubato o clonato.

Il link di reset dovrebbe avere una vita utile molto breve. A mio parere, non dovrebbe funzionare per più di circa 5 a 15 minuti. Se non riesci a modificare la password in quel periodo, puoi sempre richiedere un nuovo link quando sei pronto.

Se dovessi incontrare un sito o un servizio che ti invia la tua password esistente in formato testo, allora devi presumere che la stiano salvando in testo normale o utilizzando la crittografia reversibile.

Non necessariamente, non vedo una correlazione immediata tra i due.

Quello che probabilmente sta succedendo è che l'applicazione ha ricevuto la password in formato testo dalla richiesta POST e te l'ha inviata come promemoria. È probabile che non mantengano la versione in testo normale e che invece mantengano il proprio hash.

Se, d'altra parte, non hai digitato la nuova password da te, ma invece è stata generata dall'applicazione, nulla impedisce agli sviluppatori di generare una password, inviarla all'utente e poi eseguirne l'hash e memorizzarla in forma hash.

Tuttavia, potrebbe anche essere come hai detto tu (anche se lo trovo improbabile), ma se vuoi essere sicuro al 100%, questa è una di quelle domande più indirizzate agli sviluppatori stessi (supponendo che sarebbero disposti a condividere questo tipo di informazioni con te, ovviamente).