「パスワードをお忘れですか？」ページは古いパスワードを電子メールで送信しますが、それがプレーンテキストで保存されたという最も確実な証拠ですか？

サイトが古いパスワードをメールで送信するとき、サイトでパスワードをリセットするように要求するのではなく、そのセキュリティ対策が何を意味するのか疑問に思っています。

これは、彼らが自分の便宜のためにパスワードをプレーンテキストで保存することを意味しますか、それとも彼らはまだパスワードに暗号化を使用できますか？

パスワードがDBに保存されるときに暗号化を使用している可能性がありますが、暗号化されているかどうかにかかわらず、取得可能な形式でパスワードを保存するべきではありません。

彼らはパスワードの一方向ハッシュ（プラスsalt）を取るべきです。これは、入力したパスワードが以前に入力したパスワードと一致するかどうかを確認できることを意味しますが、彼ら（またはDBにアクセスできるクラッカー）はそれが何であるかを見つけることができません。パスワードを暗号化することは、クラッカーがDB と暗号化キーを見つける必要があることを意味しますが、キーはWebサイトを提供するサーバー上にある必要があるため、これはほとんど考えられません。

したがって、彼らがあなたにパスワードを送信できる場合、これは彼らがよく知られたセキュリティのベストプラクティスに従っていないことを意味します。

このような悪い習慣は、で登録するすべてのWebサイトに異なるパスワードを使用するのに十分な理由です。

それがあってもされて暗号化され、安全な、その電子メールは安全な方法はありませんでした。

あなたが知っていることの1つは、電子メールを使用することによって、パスワードが他の多くの場所でほぼ
確実にプレーンテキストで保存されるようになったことです。

• 上の自分のメールサーバ
• 電子メールプロバイダーのサーバー
• コンピュータのブラウザまたは電子メールストレージディレクトリ
• 途中で「聞いていた」かもしれない人のハードドライブ/ログ
• ...と非常に可能性のいずれかのあなたとそのサイト間のインターネットのホップ。

デイブが言ったように、彼らは暗号化を使用することができ、できればうまくいっていますが、パスワードをプレーンテキストで保存するサイトを見てきました。また、[パスワードを忘れた]ボタンをクリックすると、新しいパスワードを生成する可能性があります。これは、最初にログインするときに変更する必要があるためです。一番下の行は、あなたが彼らがあなたのパスワードをどのように保存するかを知らない、そしてあなたがサポートを受ける同じ会社によってサイトがホストされていない限り、そして彼らが数人しか持っていないということです。それがどのように保存されているかを知っていて、たとえ彼らがそれを知っていたとしても、彼らはあなたに言う可能性は低いです。

答えは「いいえ」です。これは何の証拠にもなりません。

いずれにしても、パスワードが内部的にどのように保存されているかを知る方法はありません。mysqlなどのデータベースを使用している可能性が高く、データベース内で暗号化されていない可能性があります。ただし、TrueCryptなどの一部の暗号化されたメディアにデータベース全体を意識的に格納している可能性もあります。あなたができることは、彼らがあなたのプライバシーを保護するために十分な対策を講じていることを願っています。