Técnicamente, es visible. O al menos, no puede estar 100% seguro de que no lo es. Esto solo es una buena razón para usar diferentes contraseñas en cada sitio.
El sitio no tiene que almacenar su contraseña en el plano para verificarla. En su lugar, puede almacenar un hash salado de su contraseña. Eso significa que una vez que el sitio se ha forzado, un pirata informático no puede acceder a su contraseña simple, pero primero debe realizar un ataque de fuerza bruta en el hash.
Sin embargo, no puede ver la programación en el lado del servidor: ¿cómo sabe con certeza cómo se implementa la verificación de contraseña? Tal vez el administrador afirma una cosa, pero aún así crea una lista de contraseñas.
- ¿Por qué no puedo hackear GSM como una red WiFi?
- ¿Cómo establecerías un perímetro de seguridad?
- ¿Cómo colocan las personas el malware en sus aplicaciones?
- Dado que la seguridad informática es un problema tan grande, ¿por qué Microsoft no crea una versión para el consumidor de Windows que use contenedores o máquinas virtuales? ¿No ayudaría, y no es posible o práctico?
- ¿Existen motores analíticos que funcionan sobre soluciones como nPulse's?
Incluso cuando se utiliza el hash de contraseña, aún debe enviar su contraseña durante la creación de la cuenta e iniciar sesión. En esos momentos, el servidor tiene acceso real a su contraseña simple. Si el administrador lo desea, puede tomar su contraseña en esos momentos.
Existen otros métodos de verificación, donde demuestra que conoce la contraseña sin enviarla realmente. Pero se usan muy raramente, y es difícil determinar si un sitio web los usaría.
Por lo tanto, existe una gran cantidad de confianza entre usted y el administrador de un sitio web. Asume que su contraseña solo es manejada por el código, y en el buen sentido, pero no puede estar seguro sin verificar el código.
Una alternativa que puede usar es la opción ‘iniciar sesión a través de Google’ o ‘iniciar sesión a través de Facebook’. Son más seguros porque el sitio web nunca aprende su contraseña. Simplemente obtienen una afirmación de Google (o FB) de que está autenticado correctamente con ellos. Es un método más seguro, pero obviamente también proporciona más información a Google / FB.