Si una empresa me envía una nueva contraseña por SMS / correo electrónico porque hice clic en "olvidé mi contraseña". ¿Significa eso que la compañía no está realmente encriptando mis contraseñas?
Si una empresa me envía una nueva contraseña por SMS / correo electrónico porque hice clic en "olvidé mi contraseña". ¿Significa eso que la compañía no está realmente encriptando mis contraseñas?
Si de hecho le envían una contraseña nueva (es decir, una contraseña generada por el sistema distinta de la que tenía anteriormente) al hacer clic en 'olvidé mi contraseña' entonces no, eso no significa que no sean contraseñas de hash. Pueden hacer que su función de contraseña olvidada genere una contraseña, la modifique y la almacene en su base de datos, y luego (mientras aún esté en la memoria) genere un correo electrónico que incluya el valor de texto simple.
No he encontrado un sitio que envíe una nueva contraseña en años. Lo que hacen es enviar un enlace de restablecimiento de contraseña que caduca bastante pronto. La larga cadena de caracteres no se forzará de forma bruta en ningún momento en este universo, sino que simplemente se combina (y se comprueba el tiempo de caducidad) para permitirle ingresar una nueva contraseña de su elección. Los buenos sitios lo harán en una página SSL.
Un atacante tendría que comprometer el correo saliente del sitio o su correo entrante, probablemente sea más fácil ir a otra ruta.