Sfortunatamente, possiamo solo speculare. Date le informazioni molto limitate che abbiamo sulle capacità del rappresentante del servizio clienti in merito alla tua password, ci sono diverse possibilità.
A parte il metodo di archiviazione dei dati, il rappresentante del servizio clienti aveva bisogno di una delle due cose per poter verificare la tua password:
- La possibilità di vedere effettivamente la password memorizzata sui loro server.
- Un'applicazione o un modulo con cui inserire la password fornita e ricevere una risposta positiva o negativa dal server dopo aver eseguito il confronto.
La prima opzione richiede una delle seguenti, nessuna delle quali è una buona pratica di sicurezza:
- Le password sono archiviate in chiaro.
- Le password vengono archiviate utilizzando la crittografia reversibile.
Con l'opzione # 2, puoi eseguire la salatura e l'hashing appropriati delle password pur consentendo al rappresentante del servizio clienti di verificarlo. Tuttavia, l'opzione # 2 non elimina la possibilità che vengano utilizzate le opzioni di cancellazione di testo trasparente o di crittografia reversibile.
In ogni caso il problema più grande di questo schema è che, indipendentemente da come hanno verificato la tua password, il rappresentante del servizio clienti ora conosce la tua password. Questo dovrebbe mai avvenire per qualsiasi motivo.
Soluzione: cambia la password del tuo registrar di dominio con una che non utilizzerai e non userai mai da nessun'altra parte. Cambia la tua password su qualsiasi altro sito, sistema, servizio o applicazione in cui hai utilizzato la stessa password o una password simile al tuo registrar di domini. Infine, trova un nuovo registrar di domini.