¿Qué es incorrecto con una página de confirmación que muestra mi contraseña?

El problema aquí podría ser tan simple como ser alguien detrás de usted que podría leer su contraseña directamente desde la pantalla, pero también tenga en cuenta que si esa página se sirve a través de "HTTP" y no a "HTTPs", su contraseña viajará en plano texto a través de internet y cualquiera puede simplemente tomar el paquete y leerlo claramente.

Pero el problema puede ser aún mayor si solo almacenan su contraseña en texto sin formato en sus bases de datos, ya que una vez que sean pirateados, probablemente tengan muchas contraseñas para muchas personas que probablemente usen esa misma contraseña con la cuenta previsto.

Es claramente una negligencia de seguridad.

Dados los detalles agregados en su edición, diría que es probable que su contraseña no se esté almacenando de forma segura.

Sus datos a través de la red son seguros, dado que están usando https . Sin embargo, parece que su contraseña se está almacenando como texto sin formato o encriptado (no mucho mejor). Podríamos decir que quizás solo hagan esto en el corto plazo, pero podemos usar la navaja de afeitar de Occam aquí. ¿Qué es más probable? ¿Que un desarrollador se tomó el tiempo de usar un mecanismo de almacenamiento temporal solo para enviarle por correo electrónico su contraseña en texto sin formato y luego enviarla de forma segura? O simplemente se almacena como texto plano (o algún tipo de cifrado).

Como mencionó que usó la misma contraseña para otros sitios (su error), continuaría y cambiaría su contraseña para otros sitios. Probablemente estaría "bien", pero ha publicado esto en un sitio centrado en la seguridad, por lo que alguien aquí podría sentir curiosidad por saber qué otra cosa es débil. (Serían idiotas, esto es para caridad, pero bueno, sucede).

Para resumir:

  

¿Qué pasa con una página de confirmación que muestra mi contraseña?

Nada, inherentemente, excepto que los espectadores pueden ver su contraseña mostrada. Indica un cierto nivel de desconsideración cuando se trata de seguridad. El hecho de que también lo reciba por correo electrónico en texto sin formato indica que su contraseña está siendo mal administrada. En casos como este, usted solo entrega información que no le importa estar comprometida, y elige una contraseña "desechable" única.

La contraseña en sí nunca debe almacenarse en el servidor, solo el hash de una sola vía derivado al introducir la contraseña a través de una función de hash no reversible, tan pronto como se ingresa en el formulario de registro. En esencia, no deberían tener su contraseña para mostrársela. Gray es absolutamente correcto, esto no habla bien sobre cómo están manejando el resto de sus datos, y ciertamente debe cambiar esta contraseña en cualquier otra cuenta donde la usó.

Básicamente, todo el sistema de autenticación con contraseñas está roto, y todos lo sabemos, pero nadie ha encontrado una alternativa viable. En el futuro, es posible que desee considerar usar un administrador de contraseñas como LastPass, que le permite establecer una contraseña maestra robusta, y generará contraseñas increíblemente largas y complejas para los sitios con los que haga negocios y almacenarlos de manera cifrada adecuadamente. Hola, todos hacemos esto, nadie puede recordar contraseñas complejas únicas para todos los sitios a los que accedemos. Un gerente es un buen comienzo hacia la cordura ... Buena suerte, y cambia esas contraseñas!