Veo que la mayoría de las empresas proporcionan un nombre de usuario o una contraseña en un correo electrónico, pero nunca en un solo correo electrónico. ¿Es esta una "mejor práctica" o hay una ley real que impide que las compañías legítimas proporcionen ambos en un solo correo electrónico?
Si lo hay, sería específico de la industria. Por ejemplo, las leyes que regulan los reactores nucleares pueden ser diferentes de las que regulan las florerías. Que yo sepa, no existe una ley federal general en los Estados Unidos que le prohíba enviar credenciales por correo electrónico, incluso en el mismo mensaje.
Personalmente, cualquier sistema que requiera una contraseña de un usuario final debe tener un método para establecer / restablecer esa contraseña sin la necesidad de enviar nada al usuario, como que el usuario seleccione una contraseña en el momento del registro, y luego poder restablecer y elegir otra contraseña, preferiblemente confirmando otros detalles que se configuraron durante el registro, como preguntas secretas, etc. Esto aseguraría que si alguien quisiera obtener la contraseña, necesitaría comprometer el sistema (hash / salt) ¿Alguien?) o comprometer la máquina o red de los usuarios.
No: no hay ninguna ley que lo prohíba, pero el envío de los dos a la vez le otorga al destinatario de ese correo electrónico, o cualquier persona que lo intercepte , acceso.
Al separarlos, un atacante necesitará interceptar dos mensajes, y si los dos son enviados por medios diferentes (por ejemplo, un correo electrónico y un mensaje SMS), el atacante tiene una tarea aún más difícil.
Lea otras preguntas en las etiquetas authentication legal