Muitos sites afirmam que não são capazes de visualizar as senhas dos inscritos. Como é que isso funciona? É obrigatório para sites que permitem que os usuários façam login? Há algum protocolo ou lei que os obrigue a armazenar senhas dessa maneira?
Além disso, como isso é possível? Eles armazenam as senhas dos usuários em seus servidores em um formato criptografado?
Todas as empresas responsáveis devem ser hashing (o processo para fazer o que você está descrevendo) senhas corretamente (é fácil fazer algo errado) ; cabe a você se você confia em suas reivindicações.
Existem leis sobre empresas dizendo que fazem alguma coisa e mentindo sobre isso, mas se não disserem se têm ou não senhas, elas não são obrigadas a fazê-lo nos EUA, a menos que seja coberto por outras leis, como PCI DSS ou HIPPA conformidade.
Quando você insere uma senha e clica em um botão "enviar", o site para o qual você está enviando o formulário obtém a senha em texto simples . Não há maneira de contornar isso, é assim que o HTML funciona. Não é uma necessidade absoluta, pois existem sistemas alternativos , mas eles não são implementados em HTML ou em navegadores hoje, tanto quanto eu sei.
Dito isto,
o site que vê a senha nem sempre é o mesmo em que você está fazendo login - por exemplo, o Stack Exchange Network usa OpenID, que é essencialmente uma forma de delegar autenticação para outros "provedores" como o Google ou o Facebook. Nesse caso, seu provedor de OpenID escolhido (por exemplo, Google) vê sua senha e o Stack Exchange não.
Isso acontece no momento do login; sites responsáveis computarão um hash e depois descartará a senha imediatamente . Um hash é uma espécie de versão criptografada da senha, da qual nem mesmo eles podem recuperar o original em um momento sucessivo após você ter efetuado login. Em outras palavras, eles armazenam um determinada função f(p) da senha; quando você desejar efetuar login novamente, eles poderão ler sua nova senha q e verificar se f(p)==f(q) , mas eles não poderão recuperar p de f(p) (ou, pelo menos, será considerado um problema computacionalmente inviável faça isso).
Sempre que um site envia sua senha de volta para você em texto simples, por exemplo, em um e-mail, é uma grande bandeira vermelha nenhuma maneira para dizer se eles estão jogando fora as senhas de texto simples ou mantendo-as, a menos que algo assim aconteça.
O método para manter você logado em um site depende de cookies e não precisa armazenar sua senha de texto simples em qualquer lugar.
Como você pode deduzir de nossas respostas, a autenticação de senha é problemática de várias maneiras, portanto, você deve nunca reutilizar senhas . A melhor prática é depender de um gerenciador de senhas , onde suas senhas geradas aleatoriamente são protegidas por uma "senha mestra" que nunca deixa o seu computador.