Это общепринятая ошибка, что если вы получаете пароль в текстовом виде, это означает, что они не хранятся безопасно - пароли, подобные любым другим данным, могут быть сохранены с использованием обратимого шифрования.
Сказав это, очень вероятно, что любой, кто отправит вам пароль с открытым текстом, не имеет понятия о безопасности и, вероятно, хранит их небрежно (если только пароли не используются как слабые идентификаторы реального мира, например, как часть -store, и в этом случае их не следует называть паролями, чтобы ваши клиенты не путались).
Если вы отправляете текстовый пароль, вы также можете предположить, что если он связан с чем-то важным, то он был скомпрометирован. Слишком много слабых мест. Вы также можете сделать намного больше непреднамеренного урона.
- Письмо может быть перехвачено, предоставив кому-то еще пароль.
- Кто-то мог видеть, как они открывали электронную почту на своем экране (были в домах товарищей, и это случалось с нами так много раз, и каждый раз это огромная головная боль, чтобы изменить все ваши пароли).
- Письмо может быть отправлено на другие адреса, которые не являются безопасными.
- Возможно, сообщение электронной почты может столкнуться с ошибкой сервера, а затем вы (возможно, ваш ненадежный персонал или аутсорсинг службы поддержки?), И системный администратор сервера электронной почты, вероятно, получит копии исходного электронного письма.
- Кто-то, кто получает доступ к электронным письмам пользователя с помощью захвата файлов cookie или даже просто незарегистрированной открытой учетной записи электронной почты, теперь сможет видеть их пароль. Хуже того, их пароль, вероятно, используется где-то в другом месте (или, по крайней мере, имеет общую основу, например «password1», «password1 $$» «passwordSuperSecure123»), поэтому теперь вы подверглись риску больше, чем просто ваш собственный сервис. Хуже того, это может быть пароль для учетной записи электронной почты, которая была захвачена, и теперь они могут украсть учетную запись электронной почты этого человека и, таким образом, идентификацию в течение более длительного времени, чем дата истечения срока действия cookie/сессии. (Это все произошло с людьми, которых я знаю).
Я знаю, что делаю, когда вижу это. Я посылаю электронное письмо на сайт, спрашивая их, почему они не заботятся о безопасности. –