Las contraseñas de texto claro en sí mismas no son un problema. El problema es con los arriesgados asociados con esos datos. ¿Cuál es el impacto para los usuarios y cuál es el impacto para la empresa si estos datos se filtran, divulgan, pierden o corrompen? ¿Qué pasaría si se publicara que esta información estaba clara, como usted describe?
Si no hay riesgos, entonces no tiene sentido implementar controles costosos a su alrededor.
Si hay riesgos, entonces los controles deben escalarse con esos riesgos.
Sé que es fácil de decir, "¡Dios mío! ¿Desea borrar las contraseñas de texto de una aplicación web en 2016? ¿Qué tipo de compañía es esta? Hay numerosas bibliotecas a las que los desarrolladores podrían haber llamado para encargarse de esto desde ¡el principio!" Sé que lo hice cuando leí tu post.
Pero en este punto, los cambios en el entorno deben tener sentido en términos de los riesgos involucrados. Su trabajo es no presentar el argumento técnico o de seguridad más convincente (si uno de esos argumentos hubiera funcionado, entonces el problema no existiría). En su lugar, su trabajo es cuantificar los riesgos para la empresa y proponer un control adecuado a esos riesgos para mitigarlos. Así es como procedes.
Si los riesgos son altos y costosos y aún no están interesados, pregúnteles si su seguro contra incendios está pagado. Las pequeñas inversiones pueden evitar pérdidas masivas, al igual que los seguros.
Si aún no puede hacer que ellos se encarguen de esto, entonces se queda con la desafortunada pero válida situación de dejar esta decisión comercial en manos de la empresa. Ellos corren los riesgos. Usted les dio la información necesaria para gestionar esos riesgos de manera adecuada. No hay mucho más que puedas hacer.
Pero antes de llegar a la etapa fatalista, obtenga una buena discusión sobre los riesgos y cómo puede ayudarlos a limitar la exposición de la empresa.