Diciamo che stai creando un sito Web per un cliente. Questo sito Web ha una propria registrazione (combinata con OpenID o no). Il cliente ti chiede di essere in grado di vedere le password che gli utenti scelgono, dato che gli utenti probabilmente useranno la stessa password su ogni sito web.
In generale, dico:
-
o che è impossibile recuperare le password, dal momento che non sono memorizzate in testo normale, ma con hash,
-
o che non ho il diritto di farlo o che gli amministratori non devono poter vedere le password degli utenti, senza fornire ulteriori dettagli.
Il primo è falso: anche se le password sono sottoposte a hash, è ancora possibile catturarle e memorizzarle su ogni accesso (ad esempio facendo uno strano tipo di controllo che ricorderà non solo quale utente ha avuto successo o non è riuscito ad accedere, ma anche con quale password). Il secondo è maleducato.
Come rifiutare questa richiesta, senza essere poco professionale o scortese?