Si un sitio web me muestra a qué se cambió mi contraseña, ¿está almacenado como texto sin formato?

No, no puedes concluir que.

La contraseña se puede hashear solo en el lado del servidor, lo que implica que la contraseña se envía en texto sin formato al servidor y se almacena en una variable. Entonces, nada impide que la aplicación web muestre la contraseña enviada al usuario, en el caso de que la misma secuencia de comandos que recibió la contraseña le proporcione comentarios sobre el cambio de contraseña.

Por otra parte, si otro módulo completo te da la contraseña en texto sin formato (quizás una función de recuperación de contraseña), podrías concluir que no está hasheado.

Editar: para evitar confusiones, en este caso, "texto sin formato" no hace referencia a SSL de ninguna manera, simplemente sugiere que la contraseña no se envíe con una clave previamente procesada al servidor.

No puede concluir que la contraseña se almacenó en texto sin formato si se vuelve a mostrar poco después de haberla cambiado. Por otro lado, si se muestra después de un tiempo (días, por ejemplo), puede ser una buena sugerencia de que la contraseña no está hasheada (está almacenada en texto plano o encriptada).

De todos modos, volver a mostrar una contraseña no es una buena práctica, ya que puede comprometer mucho más que el sitio web que se está visitando.

Como han mencionado otros, esto no significa necesariamente que la contraseña se almacene en texto sin formato, sino que es una mala señal y una mala práctica.

Algunas formas de determinar si su contraseña está almacenada en texto sin formato son:

1. Usar la recuperación de la contraseña para ver si se le envía por correo electrónico (esto indica que el texto simple o el cifrado de 2 vías como máximo).
2. Verifique los requisitos de contraseña, si hay una longitud máxima baja (por ejemplo, de 15 a 20 caracteres) es un buen indicador de que está almacenado en texto sin formato.

En general, debe usar una contraseña única para cada sitio, especialmente si ve algún indicador de que no está almacenado correctamente.

No no lo hace. La contraseña probablemente se envíe a la página donde se muestra y al mismo tiempo se almacena. No podemos decir si está almacenado con hash o no, pero mostrarle la contraseña no significa que no esté hash. Al igual que las otras respuestas, estoy de acuerdo en que es una idea terrible mostrar la contraseña en la página siguiente en texto sin formato. De todos modos es malo mostrarlo. No es el mejor ejemplo, pero ¿qué pasa si cambia su contraseña cuando está (en su caso) con un estudiante a su lado? Le dices que se dé vuelta mientras escribes tu contraseña. Dice que le escribió su contraseña, él se da vuelta, la página siguiente se está cargando y la persona puede ver su contraseña. Mi amigo estaba en la misma situación y vi su contraseña.

Solo pregúntale al administrador

Realmente, mi experiencia es que te dirán si están almacenando la contraseña en texto sin formato.

Para responder a su pregunta directamente, no según la información que haya proporcionado, no es posible saber si la contraseña está almacenada (local o remotamente) en texto sin formato más allá de esa sesión.