El correo electrónico de confirmación de registro contiene mi contraseña: ¿la mantienen en texto sin formato?

El envío de la contraseña en texto sin formato no significa necesariamente que la base de datos la almacene en texto sin formato, especialmente si le enviaron el correo electrónico antes de cifrar y almacenar la contraseña. Sin embargo, si solicita la contraseña más adelante (por ejemplo, el mecanismo de "contraseña olvidada") y se la envían de esta forma, implica que están almacenando en texto simple o están usando un cifrado fácilmente reversible. En cualquier caso, hay motivos para preocuparse a menos que solo le envíen la contraseña en el registro y antes que la almacenen en su servidor en formato cifrado .

En particular:

• Si tienen un enlace "Olvidé mi contraseña" que le envía la contraseña que configuró anteriormente, entonces sí, hay motivos para preocuparse: están almacenando la contraseña en texto simple o usando un cifrado reversible.

• Si le envían una contraseña nueva , entonces no significa necesariamente que estén almacenando la contraseña en texto sin formato o utilizando un cifrado reversible. En ese caso, no tiene suficiente información para saber si existe un motivo de preocupación.

Un problema aparte es que, en cualquier caso, el correo electrónico no es un medio seguro para enviar contraseñas. Por lo tanto, incluso si no almacenan la contraseña en texto sin formato, si se la envían por correo electrónico en texto sin formato, eso representa cierto riesgo.

según infractores de texto sin formato :

  

Los ataques del hombre en el medio son fáciles de realizar entre el servidor y el   El protocolo de comunicación en sí mismo no está encriptado.

Las tiendas no deben enviar contraseñas por correo electrónico. Una de las razones es una respuesta a una de las preguntas:

sí, las personas que pueden consultar los correos electrónicos que envía su tienda podrían, en teoría, [aún así, si dejas esa palabra fuera] ver mis datos de inicio de sesión .

El hombre en el centro de los ataques también podría tener éxito si la tienda utiliza httpS, pero acepta http también, consulte asesoramiento bancario en los Países Bajos .

Bueno, solo porque le hayan enviado una contraseña de texto sin formato no significa que no utilicen la criptografía al almacenar su contraseña.

En primer lugar, dentro de la criptografía hay hashes y cifrado. No deben cifrar ni almacenar su contraseña en texto plano. Deben de haberlo hecho.

Función de cifrado : una función de dos vías que transforma los datos de una manera que es difícil / casi imposible de revertir sin conocer la clave de descifrado (no aburro sobre los tipos de clave).

Función de hash : una función que transforma los datos en una firma única con la que parece imposible determinar casi nada sobre los datos originales (longitud, texto ingresado, etc.). Los hash son imposibles de revertir y solo pueden descubrirse mediante la tabla de arco iris / fuerza bruta. La fuerza bruta es inviable incluso con grandes cantidades de poder computacional. Las tablas Rainbow se pueden frustrar si el sitio web utiliza lo que llamamos "sal" al generar su hash.

Por lo tanto, el sitio web ni siquiera debería almacenar su contraseña encriptada, pero ciertamente no debería almacenarla en texto sin formato.

Sin embargo, lo que podría estar pasando aquí es simple. Cuando te registres, el script que se llama podría incluir automáticamente tu contraseña, agregar el hash a la base de datos y, dentro de la misma instancia, enviar el correo electrónico utilizando la función mail() de PHP. Al usar esta función, la contraseña de texto sin formato nunca se almacenaría dentro de una carpeta de 'Correo enviado' porque la función mail() no usa un correo electrónico establecido para enviar.

El envío de la contraseña en texto sin formato al usuario por correo electrónico sigue siendo muy inseguro, pero esto no significa necesariamente que no la guarden en su extremo de forma segura.

Versión abreviada :

Sé que fue un proceso largo y técnico, pero la versión corta es que cuando te registres, es posible que envíen un mensaje de texto sin formato por correo electrónico en ese momento, pero luego lo guarden de forma irremediablemente. Sigue siendo un defecto de seguridad, pero, si lo hacen, no es una preocupación tan grande. El hecho de que lo envíen como un correo electrónico no significa necesariamente que esté almacenado en una carpeta de 'Correo enviado'.

Ok, muchas buenas respuestas aquí sobre contraseñas de texto simple, hashs y almacenamiento ...

Pero la única preocupación más convincente es:

El correo electrónico generalmente no es una forma segura de transmitir datos. Probablemente sea tan seguro como gritar un mensaje al otro lado de la calle, donde alguien lo escuchará y lo repetirá en la dirección que especificó como la dirección de destino ...

No importa qué tan seguro sea su servidor, con el correo electrónico, por lo general, no tiene cifrado al enviarlos y, en muchos casos, no hay autenticación. Así que hay un grupo de hombres en los ataques del medio para obtener el contenido de ese correo electrónico, que es muy probable que se almacene y analice en su camino por varios analizadores de virus / spam, análisis de publicidad y quién sabe qué herramientas ... El contenido El correo electrónico, incluida su contraseña de texto sin formato, podría estar volando en innumerables máquinas de una red en la nube de escaneo de spam o de indexación de texto ...