Recentemente mi sono registrato per un nuovo account per il sito web di un fornitore di servizi.
Ho inserito il solito nome, email, password (strong), ripeti password e mi sono registrato. Ottimo tutto funziona bene.
Alcuni giorni dopo ho avuto qualche problema ad accedere, ho fatto il processo di 'password dimenticata' e ancora la mia nuova password (strong) non ha funzionato.
Ho contattato l'amministratore del sistema e durante la conversazione, mi ha detto qual è la mia password corrente. : o
Sono rimasto scioccato perché sa qual è la mia password. Non è meglio usare le password hash?
E se io sono qualcuno che usa la stessa password per tutti i miei account? Ora questi account sono compromessi
Mi chiedo se ci sia un modo per sapere quando si inseriscono le password in un modulo di registrazione, l'amministratore del database utilizza una qualche forma di hashing per qualsiasi sito Web e quindi non può vedere la password "effettiva"?
Conoscendo questo, posso rifiutarmi di iscriverti (possibile sito di phishing per target amateur) e / o utilizzare una password diversa.
Saluti