Большинство онлайн-сайтов на регистрации действительно отправляет ссылку для активации сайта, и на дальнейшей корреспонденции конечному пользователю они предоставляют информацию о сайте и также предоставляют данным для входа в систему пароль в открытом тексте (как дали ниже)
Имя пользователя - Пароль myname@gmail.com - mysecretpassword
Что Вы сделали бы в таком случае? От удобства использования перспектива делает имеет смысл отправлять информацию о пароле в открытом тексте или если Вы просто стараетесь не отправлять эту информацию. У меня создалось впечатление, что большинство паролей является MD5, хешированным прежде, чем сохранить в базе данных, и следовательно у поставщика услуг не будет доступа к паролям в виде открытого текста, действительно ли это - нарушение безопасности?
Это распространенное заблуждение, что если вы получаете пароль в открытом виде, это означает, что он хранится ненадежно - пароли, как и любые другие данные, можно хранить с помощью обратимого шифрования.
Учитывая это, вполне вероятно, что любой, кто отправляет вам пароль в открытом виде, не имеет понятия о безопасности и, скорее всего, хранит его небрежно (если только пароли не используются в качестве слабых идентификаторов реального мира, например, как часть схемы членства в магазине, в этом случае их не следует называть паролями, чтобы ваши клиенты не запутались).
Если вы отправляете пароль открытым текстом, то можете считать, что если он связан с чем-то важным, то он был взломан. Просто существует слишком много слабых мест. Вы также можете нанести гораздо больше непреднамеренного ущерба.
Всегда есть компромиссы, и разработчикам приходится учитывать удобство использования, подкованность предполагаемых пользователей, секретность и важность данных, частоту использования сайта и так далее. Конечно, пользователи не хотят, чтобы их конфиденциальность нарушалась, но, с другой стороны, "обычных" пользователей может оттолкнуть необходимость запоминать пароль или даже придумывать его (некоторые сайты упрощают регистрацию пользователей, генерируя случайный пароль и отправляя его по электронной почте). Разработчики веб-сайтов обязаны учитывать интересы пользователей при разработке системы безопасности.
Мой совет заключается в том, что пароли следует отправлять по электронной почте в открытом виде только в том случае, если они сгенерированы случайным образом. Это позволит избежать следующего неловкого сценария: пользователь регистрируется с паролем, который он уже использует для различных других веб-сервисов, а затем получает письмо с подтверждением регистрации, содержащее пароль, который он только что ввел. Многие пользователи могут не быть достаточно сознательными в вопросах безопасности, чтобы использовать уникальные пароли для каждого сайта, но они достаточно сознательны в вопросах безопасности, чтобы понять, что "чувствительные" пароли не следует рассылать по электронной почте.
Да, это определенно нарушение безопасности. Следует хранить только соленые и хешированные версии паролей.
Обычно имеет функцию сброса пароля, которая отправляет либо временный автоматически сгенерированный пароль (который подходит только для одного входа в систему), либо ссылку для одноразового сброса. Это означает, что другие ваши учетные записи защищены настолько же, насколько и ваша электронная почта.
Однако вам следует держаться подальше от любых сайтов, которые пришлют ваш пароль по электронной почте в виде открытого текста.