Me parece que cada vez que me registro en un sitio web, no hay absolutamente ninguna garantía de que el administrador no pueda descifrar y ver mi contraseña (si es que, en primer lugar, se molestan en cifrar mi contraseña).
¿Hay alguna forma de saber con seguridad cómo se almacena mi contraseña en un inicio de sesión en un sitio web estándar?
Obviamente, la mejor forma de protegerse contra esto es usar una contraseña diferente para cada sitio, pero esa no es la pregunta que hago.
Si el administrador realmente quiere ver su contraseña, entonces podrá hacerlo. Solo tiene que agarrarlo cuando lo envíes al servidor.
Si desea saber qué datos dependientes de la contraseña se almacenan en el lado del servidor, esa es otra pregunta. En general, no puedes saber cómo hacen las cosas, pero a veces te dan pistas. Básicamente, la cosa razonable para almacenar es un "token de verificación de contraseña" que es una versión con hash de la contraseña, utilizando un función de hashing de contraseña . Si lo hacen, no pueden recuperar la contraseña y devolvérsela. Por lo tanto, si hay una "pantalla de modificación de contraseña" que puede mostrarle su contraseña, o si le envían su contraseña por correo electrónico cuando hace clic en el botón "Olvidé mi contraseña", sabrá que lo que almacenan es irrazonable. Plain Text Offenders es un sitio web de ira / vergüenza que recopila informes de tales sucesos, principalmente para poder señalar y burlarse de estos sitios pobremente desarrollados.
Lo que realmente no se puede saber del exterior es si, cuando almacenan solo contraseñas con hash, usan una función de hashing correcta contraseña , o alguna otra cosa. Por lo general, aprendes lo mal que hicieron las cosas cuando se ingresaron y se extrajo una lista de contraseñas con hash: si las contraseñas se rompen a una velocidad de docenas por segundo, entonces la función de hashing fue bastante mala ...
La reutilización de contraseña es demasiado peligrosa. Debe usar una contraseña nueva y específica para cada sitio; de esa manera, cualquier ineptitud de su parte se contendrá en ese sitio específico. Para recordar todas estas contraseñas sin tener un cerebro sumamente eficiente, es posible que desee utilizar un software de administración de contraseñas, por ejemplo KeePass .
Lea otras preguntas en las etiquetas passwords authentication