El sitio web me envió mi nueva contraseña (después de restablecer) en texto claro [duplicado]

No, esto no indica si están almacenando su contraseña en texto sin formato o con cifrado reversible. Pueden ser , pero esto deja abiertas otras posibilidades. Todo lo que sabe con certeza es que crearon una nueva contraseña y le enviaron esa nueva contraseña por correo electrónico. Esa contraseña puede estar correctamente hasheada para su almacenamiento en su sistema.

Sin embargo; Esta es una mala práctica de seguridad y me gustaría quejarme de ello, y señalar que una mala práctica en un aspecto te hace sospechar de la calidad de sus prácticas de seguridad en otros aspectos.

El correo electrónico no es seguro y, de todos modos, no deberían hacer restablecimientos de contraseña enviándote una nueva contraseña de ninguna forma.

EDIT:

Simplemente instalé una aplicación de transferencia de archivos de código abierto en uno de nuestros servidores para verificarla.

Confirmé que se trata de contraseñas de hash para el almacenamiento en la base de datos, lo que aumentó mi nivel de comodidad. Luego, creé un par de cuentas y me di cuenta de que la cosa encorvada envía las contraseñas en el momento de la creación de la cuenta en texto sin formato al nuevo titular de la cuenta.

Estoy fuera de mí. Uno de ellos era en realidad una cuenta bastante confidencial, para la cual el titular de la cuenta no debería tener que cambiar la contraseña (pero ahora se verá obligado a hacerlo).

Esta tontería completamente estúpida, absolutamente no segura tiene que parar. Una contraseña de texto simple nunca debe ser enviada nunca jamás, bajo ninguna circunstancia. Siempre. Fin de la discusión. Todo el modo de pensar debe ser anulado instantáneamente cada vez que se encuentre, y los sitios web públicos que se involucran en tales prácticas deberían ser castigados por ello.

EDITAR FINAL:

Deben estar haciendo restablecimientos de contraseñas enviándole algo como un enlace de restablecimiento con un token / código incrustado (largo y complejo), que le permite elegir su propia contraseña nueva, a través de una conexión segura (HTTPS). Lo ideal sería que, al hacer clic en ese enlace, aún tuvieras que responder una o dos preguntas de seguridad para confirmar tu identidad. O se debe implementar algún tipo de 2FA, donde hace clic en el enlace, luego debe ingresar un código que fue enviado a su teléfono. Y todavía siento que deberías responder al menos una pregunta de seguridad más, porque 2FA todavía es completamente susceptible de que te roben o clonen tu teléfono.

Ese enlace de restablecimiento debe tener una vida útil muy corta. En mi opinión, no debería funcionar durante más de 5 a 15 minutos. Si no está cambiando su contraseña en ese período de tiempo, siempre puede solicitar un nuevo enlace cuando esté listo.

Si alguna vez se encuentra con un sitio o servicio que le envía su contraseña existente en texto sin formato, debe asumir que lo está almacenando en texto sin formato o usando un cifrado reversible.

No necesariamente, no veo una correlación inmediata entre los dos.

Lo que probablemente esté sucediendo es que la aplicación obtuvo su contraseña de texto sin formato de la solicitud POST y se la envió como recordatorio. Es probable que no retengan la versión de texto sin formato y que mantengan su hash en su lugar.

Si, por otro lado, no ha ingresado usted mismo la nueva contraseña, sino que fue generado por la aplicación, nada impide que los desarrolladores generen una contraseña, la envíen al usuario y luego la mezclen y almacenen en forma de hash.

Sin embargo, también podría ser como dijiste (aunque me parece poco probable), pero si quieres estar 100% seguro, esta es una de las preguntas mejor dirigidas a los propios desarrolladores (suponiendo que estén dispuestos a hacerlo). comparte este tipo de información contigo, por supuesto).