No estoy preguntando por qué se debe hacer hash. En su lugar, quiero saber cómo evitar que los desarrolladores registren las contraseñas de los usuarios para piratear otras cuentas de sus usuarios, especialmente su correo electrónico.
¿No podrían almacenar las contraseñas de sus usuarios en texto simple sin que los usuarios sepan?
¿Hay alguna manera para que un usuario detecte / prevenga esto?
Por supuesto que podrían, pero también podrían enviarse un correo electrónico cada vez que cambies tu contraseña.
Ahora, dependiendo del tipo de sistema, hay muchas regulaciones, auditorías, revisiones y procesos que pueden ser relevantes para garantizar que los desarrolladores no hagan esto, o muchos otros tipos de actividad maliciosa. Sin embargo, usted, como consumidor, por lo general no tiene mucha información sobre esto, excepto cuando falla, por ejemplo, si le envían su contraseña original por correo electrónico cuando solicita restablecerla.
Pero estás haciendo la pregunta incorrecta aquí.
Sí, es importante que los sistemas que utilice se desarrollen de forma segura, pero eso nunca eliminará el elemento de confianza implícita que siempre tendrá en el sistema en sí, y, en este contexto, los desarrolladores son equivalentes al sistema en sí.
La verdadera pregunta que debe hacerse, y de hecho parece que está insinuando esto, es cómo proteger sus otras cuentas, en otros sistemas, de un desarrollador malicioso o sistema .
La respuesta es simple, realmente: use una contraseña diferente para cada sistema.
Permítame repetir eso, para enfatizar:
NUNCA REUSE LAS CONTRASEÑAS EN SISTEMAS DIFERENTES.
Cree una contraseña única (segura, aleatoria, etc.) para cada sitio y nunca ingrese su contraseña para SiteA en SiteB.
Debido a que, como lo señaló intuitivamente, si SiteB tiene su contraseña para SiteA en cualquier forma, entonces esa contraseña ya no es segura desde SiteB.
Solo por diversión, aquí hay un xkcd sobre esto :
Una última nota, si estás empezando a preocuparte "¡¿Cómo diablos voy a recordar una contraseña segura de forma independiente para cada sitio diferente?" - Eche un vistazo a esta pregunta aquí en las frases de contraseña , y también busque en los administradores de contraseñas (por ejemplo, Password Safe, Keepass, LastPass, 1Pass, etc.).
No puedes saber que alguien se comportará de manera ética o sabia, por lo que:
Me temo que algunos desarrolladores no son lo suficientemente avanzados para entender las implicaciones de una fuga de información para sus usuarios, así que protéjase en lugar de confiar en otros.
Como han dicho otros, no puedes saber completamente qué hacen los desarrolladores con tus datos una vez que los entregas. Le puede dar algo de confianza para examinar cómo funciona el sitio para ver si siguen las mejores prácticas de seguridad en las piezas del sistema que usted ve.
Marcar estas casillas no garantiza que no estén haciendo algo turbio en otra parte, pero te da una mejor idea de cómo los desarrolladores han configurado el sitio.
Como se mencionó, evitar la reutilización de la contraseña es la práctica de seguridad más importante que puede seguir para protegerse.
Una forma en que puede saber que pueden obtener su contraseña es si el sistema de contraseña olvidada puede enviarle su antigua contraseña por correo electrónico. Si lo obliga a generar o establecer uno nuevo, es posible que se hayan almacenado en texto sin formato / cifrado de 2 vías.
La otra forma de verlo es registrarse en una cuenta gratuita de hotmail y en algunos sitios (de confianza) con la misma contraseña, verifique si ocurre algo.
Aparte de eso, realmente no puedes decirlo.
La única forma en que un sitio web puede probar que NO está almacenando su contraseña en texto sin formato es nunca recibirla en texto sin formato. Esto solo se puede lograr a través del script hashing del lado del cliente. A menos que pueda analizar el código del sitio web y / o rastrear el tráfico, debe asumir que el administrador tiene pleno conocimiento de su contraseña en texto sin formato.
Consulte esta pregunta de un administrador que quiso dar tranquilidad a sus usuarios. usted busca. Tiene muchas respuestas interesantes, aunque la mayoría de ellas se centran en la seguridad en lugar de en la prueba de no almacenar el texto sin formato.
Lea otras preguntas en las etiquetas passwords