No lo sé. Pero aquí hay una suposición: el sitio web no tiene nada valioso que proteger. La única razón por la que tiene cuentas de usuario es para que puedan permitir que las personas inicien sesión y publiquen comentarios: si no hubiera un proceso de inicio de sesión, las personas podrían (y lo hicieron) escribir comentarios para publicar anuncios en miles de páginas web a la vez, o las páginas serían abrumado por guerras de fuego entre personas anónimas y no bannables. Entonces, alguien decidió que la seguridad débil era lo suficientemente buena y que era más fácil escribir PHP / SQL para hacer una coincidencia simple que administrar hashes.
Por supuesto, si las personas usan la misma contraseña en todas partes, la contraseña en sí misma se vuelve valiosa. Incluso con un esquema de hashing fuerte (SHA1, por ejemplo), si los piratas informáticos se apoderan de toda la base de datos, un ataque de diccionario puede descifrar las contraseñas comunes. La última vez que miré, la lista de contraseñas de Adobe no se había descifrado realmente, pero debido a que los hashes no tenían sal, había una correspondencia 1: 1 entre las contraseñas y los hashes y el “recordatorio de contraseña” de algunos usuarios era la contraseña en sí, o tan buena como. Eso permitió que los investigadores de seguridad dedujeran las 100 contraseñas más comunes. Todo lo cual es una buena razón para no usar la misma contraseña en diferentes sitios web, o al menos no compartirla con su correo electrónico, redes sociales o cualquier cosa que realmente le interese.
Personalmente, creo que otros datos son tan sensibles como las contraseñas, si no más, y también deberían encriptarse. Eso hace que sea difícil de usar, y probablemente lento, y no es 100% hermético, ya que claramente tiene que ser descifrado para usarse realmente, cuando el perfil de alguien se muestra o edita, por ejemplo. Pero todavía vale la pena hacerlo. Ashley Madison tenía claros los nombres reales, las direcciones, los números de teléfono, la dirección del empleador y las preferencias sexuales de las personas. ¿A quién le importan algunas contraseñas desechables?
- ¿Hay algún servidor con cero vulnerabilidad?
- ¿Qué es la seguridad de la aplicación?
- ¿Qué medidas de seguridad debo tomar para asegurar la oficina de mi empresa que se ocupa del desarrollo de software?
- Como desarrollador front-end, ¿debo convertirme en ingeniero de seguridad cibernética?
- ¿Por qué alguien guardaría una contraseña en su navegador?