El envío de contraseñas de texto sin formato a través de https es bastante seguro, el tráfico está cifrado, lo que hace que las escuchas sean prácticamente imposibles.
Sin embargo, una vez en el lado del servidor, todavía es texto sin formato. Por supuesto, almacenar las contraseñas necesita un cifrado adecuado, etc. Pero, ¿qué hay de las herramientas de supervisión, el registro, etc.? ¿No es posible que las contraseñas de texto sin formato terminen en registros, etc.? Incluso cuando se utiliza POST?
Si supervisáramos la comunicación, también veríamos las contraseñas en texto sin formato. Un simple compendio en lugar de texto simple nos dificultaría verlo y recordarlo. Sí, puedo acceder a una gran cantidad de datos confidenciales de todos modos. Sí, puedo usar tablas de arco iris para descifrar el hash MD5. Si queremos hacerlo mal, podemos hacerlo mal. Pero, ¿por qué deberíamos permitir que mis colegas y yo veamos contraseñas de texto sin formato?
Dado que las personas tienden a usar la misma contraseña para múltiples servicios en línea, tener la contraseña de alguien da acceso a más que solo nuestros datos de esa persona.