Можете ли вы отправить хэшированный пароль обратно пользователю в виде простого текста?

Question

Итак, я имею дело с веб-сайтом, я программист среднего уровня, и я делал покупки на веб-сайте, который, как я слышал, используют другие друзья.Когда я подписался на мою учетную запись, они отправили мне мой пароль в виде простого текста на мою электронную почту.Я всегда думал, что в html-форме, если вы хешируете пароль и отправляете его на сервер, невозможно будет вернуть пароль в виде обычного текста.Я предполагаю, что сайт, на котором я создал учетную запись, хэширует пароль, но у меня нет никакой возможности узнать.Я не эксперт по безопасности или что-то еще, но я уверен, что они не хэшируют пароль и, вероятно, хранят мои данные в виде простого текста на своих серверах.Мой вывод верен?

Answer 1

Если ваш пароль отправляется вам во время процесса регистрации, может случиться так, что он будет отправлен именно тогда, когда сервер его получит и все еще будет иметь его в виде открытого текста, а затем он будет хеширован и сохранен должным образом.

Это будеттем не менее, не рекомендуется использовать пароли в виде открытого текста по незащищенным каналам, например, по электронной почте.

Конечно, в этом случае они не смогут отправить его снова в другом запросе.Если это произойдет, это действительно означает, что они не хранят его в хэше.

Answer 2

Есть еще один способ хранения паролей, шифрование.Таким образом, сервер приложений хранит ключ шифрования, чтобы зашифровать пароли пользователей и сохранить их в базе данных.

Когда пользователи пытаются войти в систему, они шифруют новый входящий пароль при попытке входа в систему, чтобы убедиться, что он совпадает.

В случае утери паролей, они могут отправить пароль пользователя обратнорасшифровав его с помощью ключа на сервере приложений.

Если сервер приложений скомпрометирован, злоумышленники могут получить доступ ко всем паролям так же, как и сервер приложений.

Ни в коем случае, они должны отправить обратно пользователям свои пароли.Если пользователи не помнят, они должны заставить пользователей генерировать новый.

Подробнее см. Разница между хэшированием пароля и его шифрованием

Answer 3

Если он правильно хеширован и защищен, они не должны видеть его в виде открытого текста.Если бы они могли легко получить к нему доступ, то и хакеры могли бы.