Estoy implementando un sistema donde nuestros usuarios necesitan ingresar una contraseña especial (permanente) para autorizar una transacción.
La contraseña es independiente de sus credenciales de inicio de sesión, y solo pueden ingresar esta contraseña de autenticación si están registradas.
Queremos que el servidor genere y les envíe la contraseña por correo electrónico, y almacenaremos un hash de la contraseña en el servidor. A petición del usuario, podremos actualizar esta contraseña.
He mirado otras preguntas, como Está enviando la contraseña ¿Es seguro el correo electrónico del usuario? , y parece que el problema no es el envío de contraseñas, sino el almacenamiento de contraseñas de texto sin formato.
¿Hay algo de lo que deba preocuparme con este proceso?