¿Google está guardando contraseñas de texto simple? [cerrado]

Los detalles de cómo Google implementó esta funcionalidad son desconocidos y son propiedad de Google, por lo que no es posible responder su pregunta por completo. Sin embargo, aquí están los puntos altos:

• Google tendrá que guardar la contraseña de su cuenta POP3 en su sistema. No hay forma de evitar esto porque POP3 no tiene, no es una forma estándar de delegar derechos a un servidor de terceros. Especulativo: Google probablemente mantenga esta copia de su contraseña cifrada de manera reversible en su base de datos. Baso esta especulación en el historial de la compañía de poner un gran énfasis en la seguridad.
• Los servidores de Google, de hecho, se contactarán periódicamente con su servidor POP3 y descargarán los nuevos mensajes desde allí. Si ha marcado la opción "Usar siempre una conexión segura (SSL) al recuperar correo", lo hará a través de un canal seguro.
• La seguridad del sistema depende del contexto. Estás colocando las credenciales de tu cuenta POP3 en la mano de Google. Debido a la naturaleza de esa información, podría ser citada por la autoridad, robada por un empleado o filtrada de otra manera. Dado el historial de seguridad de Google, la divulgación no controlada parece improbable pero definitivamente no imposible. Por otro lado, al usar esta funcionalidad, ya confía en Google con el contenido de su correo electrónico y con la capacidad de suplantarlo. Se puede argumentar que, a menos que las credenciales que distribuya le permitan acceder a otros recursos y suponiendo que fuerce el uso de TLS para la verificación de la contraseña, no está extendiendo la confianza en gran medida con la contraseña real de la cuenta.

La pregunta no puede ser respondida por nadie que no sea Google. Es posible que desee preguntarles, pero dudo que le den una respuesta. Lo único que podemos saber con certeza es que las contraseñas no están hasheadas porque, de lo contrario, Google no podría hacerse pasar por el servidor de correo. Por lo tanto, google almacena las contraseñas sin copiar, pueden almacenarse como texto sin formato en la base de datos o pueden estar encriptadas en la base de datos, pero incluso si están cifradas, el servidor puede descifrarlas. Un atacante en el servidor puede comprometer las credenciales incluso si están cifradas.

Dependiendo de para qué se utiliza la cuenta de correo electrónico, esto puede no ser un problema. Probablemente no debería usar esa cuenta para obtener información confidencial o segura (por lo general, no debería usar el correo electrónico durante ese período) a menos que la información esté encriptada antes de enviar por correo electrónico (es decir, GPG).

La contraseña debe transmitirse en texto sin formato, de lo contrario, Google no puede enviar solicitudes al servidor de correo de terceros, ya que este servidor de correo espera que la contraseña esté en texto sin formato.

  

¿Esto es seguro?

¡No, no lo es!

Tenga en cuenta: el uso de POP3 para recuperar su correo electrónico tampoco se considera seguro porque no hay protección de la capa de transporte. Se recomienda usar solo protocolos que tengan protección de capa de transporte con fuertes trajes de cifrado.

POP3 s sería una mejor manera de recuperar su correo electrónico, aunque dudo que haya una opción en la configuración de GMail para esto.