¿Se puede enviar la contraseña en texto sin formato con SHA-256?

Primero, si está preocupado, comuníquese con su banco y solicite un nuevo número de tarjeta, ahora mismo. Luego, cambie todas las contraseñas que use que sean iguales o similares a las que les envió en cada sitio en cualquier lugar. Luego termina tu cuenta con ellos.

En segundo lugar, la familia SHA es un conjunto de algoritmos hash.

Tercero, están mintiendo, por omisión si nada más. Si realmente usaron alguna forma de SHA-256 en su contraseña, entonces no pueden enviársela por correo electrónico (probablemente sin cifrar)

• A menos que ellos mismos ejecutaran un cracker fuera de línea, Y su contraseña fuera P @ $$ w0rd, Jennifer2007, 12345, o algo similar. Sin una contraseña débil, SHA-256 tomará un poco.

Cuarto, a menos que estén usando PBKDF2-HMAC-SHA-256 con un alto recuento de iteraciones (es decir, ralentizar a los atacantes sin conexión), AÚN lo están haciendo mal si están usando SHA-256.

En quinto lugar, o almacenan contraseñas en texto sin formato, o realmente usan cifrado (en lugar de hashing), que es Lo que causó problemas a Adobe en 2013 , y está mal.

Usted tiene razón, NO DEBEN poder recuperar su contraseña de texto sin formato de su almacenamiento.

Además, no deben enviarlo por correo electrónico potencialmente inseguro, incluso si lo están almacenando. Doble estupidez por la pérdida!

Solo para aclarar, SHA256 es un hash de una manera, no cifrado. Una vez que está hash, no se puede recuperar.

Es correcto que le preocupe que una contraseña que creó (no generada automáticamente por el sitio) le haya sido enviada por correo electrónico. Dicho esto, no estoy de acuerdo con su declaración:

  

"Si pueden, eso significa que mi información confidencial también se almacena en texto sin formato".

Solo porque hacen una cosa mal, no significa que estén haciendo otras cosas mal también. Del mismo modo, solo porque otro sitio haga el almacenamiento de contraseñas correctamente, no significa que no estén cometiendo otros errores. En otras palabras, nunca puedes confiar verdaderamente en cualquier sitio a menos que sepas exactamente cómo funciona entre bastidores.

Realmente lo único que sabes con certeza es que te están enviando la contraseña que creaste cuando te registraste. Esa es una mala práctica, pero no significa necesariamente nada más que eso. Es totalmente posible que envíen el correo electrónico en el momento en que se registre, luego mezclen su contraseña con SHA256 según lo que afirman y quizás utilicen los métodos adecuados de almacenamiento para obtener información de pago (o no almacenen la información de pago en sus servidores). / p>

Lo primero que recomiendo sería cambiar su contraseña en ese sitio. Es posible que el correo electrónico que recibió con su contraseña solo se produzca cuando se registre por primera vez. Es posible que no le envíen un correo electrónico cada vez que cambie su contraseña, y si no, y si cree que son sinceros de que están introduciendo su contraseña, es probable que esté bien a partir de ese momento.

Como precaución adicional, si las cuentas que tiene en otros sitios web también usan la contraseña que usó inicialmente, también recomendaría cambiarlas. (Es por esto que es una buena práctica usar una contraseña diferente en cada sitio que usa).

Editar: como nota al margen, te recomendaría que te comuniques con el sitio y les digas que te preocupa que te envíen por correo electrónico la contraseña que ingresaste. Tal vez incluso vincularlos directamente a esta pregunta como una buena referencia. Esperemos que puedas conseguir que cambien su proceso.