En las últimas semanas he encontrado dos compañías bastante grandes que parecen no tener una seguridad de contraseña estricta:
- Tesco: almacenan las contraseñas en un formato "encriptado", pero pueden descifrar la contraseña y luego enviarla por correo electrónico cuando haces clic en "Olvidé mi contraseña"
- Plusnet: vuelven a almacenar las contraseñas en algún formato de texto sin formato / cifrado, pero las descifran y se las muestran cuando hace clic en "He olvidado mi contraseña". No es tan malo como Tesco, no le envían la contraseña por correo electrónico, sin embargo, envían un enlace de "recuperar contraseña" y al hacer clic en eso, se abre una ventana del navegador que muestra su contraseña en texto plano (sin duda, a través de una conexión https).
Mi pregunta es, ¿cuál es la razón detrás de esto? Tanto Tesco como Plusnet están almacenando los detalles de la tarjeta de crédito del cliente, por lo que seguramente la seguridad debería estar en la vanguardia de su mentalidad.
Quiero saber si estoy equivocado al creer que están almacenando las contraseñas de forma insegura. ¿Tendrán procesos, políticas y tecnologías implementadas que hagan que esta situación sea lo suficientemente segura como para que la forma en que almacenan sus contraseñas sea trivial?
¿Tendrán un cifrado especial de dos vías que no puedan ser descifrados por piratas informáticos? p.ej. ¿De la misma manera que https, o el trabajo de la API con una clave privada?
¿Tendrán la seguridad adecuada en sus bases de datos para que esto nunca sea un problema, los hackers nunca tendrán acceso a los datos? (A juzgar por linkedin, sony y yahoo, ¡esto siempre va a ser un problema!).
¿O tengo razón al creer que está mal, y si es así, por qué? ¿La empresa es ignorante? es decir, no entienden / saben que lo que están haciendo está mal? ¿Son arrogantes? es decir, piensan que nadie los hackeará nunca? ¿O es algo más?
Gracias.