Tengo una aplicación que envía un nombre de usuario y una contraseña por correo electrónico (contraseña temporal aleatoria, cambio obligatorio en el primer inicio de sesión).
Un gran cliente tiene esta política de "nunca enviar un nombre de usuario y contraseña en el mismo mensaje", y están exigiendo un cambio para dividirlo en dos mensajes de correo electrónico, uno que contiene el nombre de usuario y otro con la contraseña.
Comprendería si la demanda fuera enviar información a través de distintos canales, digamos, enviar el nombre de usuario por correo electrónico y la contraseña por SMS, porque comprometer ambos canales es más difícil. Pero enviar la información dividida en dos mensajes a través del mismo canal no tiene sentido para mí: si cree que su correo electrónico puede verse comprometido, debe asumir que el atacante podrá leer ambos mensajes, entonces ¿cuál es el punto de fracking?
¿Hay alguna lógica detrás de esta política?