Soy uno de los cofundadores de plaintextoffenders.com . Recientemente recibimos una presentación para la cual no estoy seguro de si hay un medio de ataque o no. El sitio en cuestión es un hosting / VPS / etc. empresa.
Una vez que alguien hace clic en Olvidé mi contraseña, se envía un correo electrónico a la dirección de correo electrónico del usuario. Especifica una dirección de restablecimiento de contraseña (buena) que está limitada por tiempo a 15 minutos (excelente) pero también contiene la contraseña temporal del usuario para esos 15 minutos (¿eh?).
Aunque esto claramente no es una indicación de que estén almacenando contraseñas en texto sin formato, me hizo pensar si el envío de la contraseña temporal, junto con el enlace de restablecimiento limitado en el tiempo, tuvo alguna implicación de seguridad.
Actualizar : después de leer sus respuestas y revisar cuidadosamente la redacción del correo electrónico, descubrí que la contraseña proporcionada no es la contraseña temporal posterior al restablecimiento, sino la contraseña que se usará permanentemente después de hacer clic en el enlace de reinicio. Esto encaja con nuestro mandato y el post será publicado. ¡Gracias a todos por sus respuestas!