Ciertamente no es una práctica segura.
Pero en cuanto a si los sitios inseguros que utilizan esta práctica son peores que otros sitios inseguros, depende de sus usuarios y del modelo de amenaza.
Si el 50% de las contraseñas de sus usuarios son "111111", "qwerty" y "bugmenot", y el 45% es igual a sus inicios de sesión, realmente podría mejorar la seguridad de esa manera.
Si su política de restablecimiento de contraseña no requiere nada más que el correo electrónico del usuario, que es muy común, entonces cualquier MITM o cualquier persona con acceso a su correo o el de su usuario ya tiene la puerta abierta. Sin embargo, no son la única amenaza ...
El problema real son las implicaciones de tal práctica. Es de esperar que las contraseñas no se almacenen en texto sin formato, pero los correos electrónicos se conservan en algunas bases de datos, y estas contraseñas se perderán cuando se extrae una. Recibo muchas ofertas específicas de spam para vender la base de datos de usuario de un sitio web que ejecuto; No sé cuánta gente los acepta, pero algunos sí lo hacen.
Por supuesto, si lo único que tiene valor en su sitio web son las direcciones de correo electrónico de los usuarios, el daño debe ser ponderado contra la mitigación del daño de la reutilización de la contraseña para los usuarios que no les importa.
Para un sitio que tiene datos de usuario de valor real, o especialmente financiero, cualquier transmisión de la contraseña es altamente inapropiada. Incluso si tiene que cambiarse de inmediato, ese inicio de sesión único se realiza mejor con un token de autenticación de una sola vez. Por lo tanto, es poco probable que cualquier sitio que siga esta práctica esté diseñado de manera segura.