En el resumen, por supuesto, es una mala idea, por todas las otras razones válidas (por ejemplo, "almacenarlo en texto sin formato", "intercepción", "secuestro y reproducción de la cuenta", etc.) que otros encuestados han declarado.
Sin embargo, el problema que me gustaría plantear, como ocurre casi siempre con preguntas relacionadas con la seguridad de TI, es "comparado con '¿qué'?" Si se trata de un método alternativo, menos vulnerable a la intercepción (preferiblemente, fuera de banda, por ejemplo, ".zip su contraseña en un archivo cifrado, se la enviaremos por correo electrónico y luego lo llamará por voz y le dictaremos la contraseña" ) El método está disponible, entonces obviamente debería usarse.
Pero, ¿qué sucede si no hay disponible un canal alternativo o es práctico?
Puedo argumentar que si la contraseña que un usuario final puede elegir es "password" o "123456", es mucho más vulnerable que tener una contraseña compleja enviada por correo electrónico a ese usuario, con instrucciones para usarlo solo por un tiempo limitado y luego cambiarlo a algo igualmente complejo (o almacenarlo en un administrador de contraseñas como KeePass, LastPass o Password Safe, y luego eliminar la versión de texto simple)
A menos que su nombre sea "Snowden" o "Assange", la probabilidad relativa de que todas sus comunicaciones sean monitoreadas constantemente, y por lo tanto, corre el riesgo de que se intercepte el flujo de datos TCP / IP y, por lo tanto, de que su contraseña sea interceptada - Es realmente muy bajo. Considerando que, el riesgo de que una contraseña débil sea finalmente hackeada, es bastante alto.
Así que todo se reduce a una situación de análisis de riesgo. Si se encuentra en un entorno de alto riesgo (por ejemplo, es un banco y necesita comunicar las credenciales de la cuenta a los clientes de altos ingresos), entonces, sí, CUALQUIER forma de comunicaciones de contraseña que pueden ser interceptadas, probablemente no sea apropiada. Si, por otro lado, está ejecutando el foro de discusión en línea de la Sociedad Auxiliar de Arreglo Floral Auxiliar de Mujeres de Peoria, Ohio, y debe otorgar a los miembros acceso protegido por contraseña al foro "Publique sus últimas combinaciones de Flower Power", entonces es probable que las consecuencias de una intercepción exitosa de la contraseña y un posterior ataque en línea sean mucho menos, y quizás se acepte un mayor nivel de riesgo en la comunicación de las credenciales.