Algunos sitios en los que he sido miembro en el pasado no pasan por el habitual "¿Olvidó su contraseña?" proceso. En lugar de enviarme por correo electrónico un enlace de restablecimiento de contraseña único o algo parecido, recibí la contraseña en mi correo electrónico en texto sin formato .
Me imagino que para hacer esto posible, la contraseña debería almacenarse en texto sin formato en algún lugar de la base de datos. ¿Esto es necesariamente cierto?
Sí, debería preocuparse si usa la contraseña en otros sitios web o si tiene datos personales almacenados en ella. Esta es una de las razones por las que debe tener contraseñas diferentes para cada sitio web. Ellos están almacenando su contraseña de texto sin formato. Me mantendría alejado de los datos personales. Es uno de esos principios básicos de seguridad que violaron, lo más probable es que haya más.
Solo debe preocuparse si le importa que otras personas accedan a su cuenta en ese sitio. No solo porque están almacenando su contraseña en texto sin formato en su base de datos, y no solo porque han enviado su contraseña en forma clara a través del correo electrónico, sino también porque obviamente no les importa lo suficiente la seguridad de su cuenta para hacer incluso un mínimo. esfuerzo.
Lo que debe hacer en tal caso es informarlos a enlace . Este es un sitio de Tumblr que recopila pruebas de que varios sitios almacenan las contraseñas de forma clara. El objetivo de este sitio no es solo el LULZ, sino también advertir a los usuarios de este problema y avergonzar a los sitios para que se encarguen de repararlos.
Bien por tener la contraseña almacenada en texto sin formato en su base de datos: Si le envían por correo electrónico una nueva contraseña en lugar de la anterior, entonces quizás simplemente generaron una contraseña aleatoria, la rellenaron, la procesaron y la almacenaron, pero si le envían su propia contraseña, ¡sí, definitivamente se almacenan como texto simple!
Lea otras preguntas en las etiquetas web-application passwords