Nie, to nie jest dobra praktyka. Istnieją dwa różne problemy.
-
szyfrowanie hasła zamiast haszowania jest złym pomysłem i graniczy z przechowywaniem haseł w postaci zwykłego tekstu. Cała idea powolnych funkcji skrótu polega na zapobieganiu eksfiltracji bazy danych użytkowników. Zwykle osoba atakująca, która ma już dostęp do bazy danych, może również mieć dostęp do klucza szyfrowania, jeśli aplikacja internetowa ma do niego dostęp.
Jest to zatem tekst zwykły z pogranicza; Prawie zagłosowałem za zamknięciem tego jako duplikatu tego pytania, ponieważ jest to prawie to samo, a połączona odpowiedź ma zastosowanie prawie bezpośrednio, szczególnie w przypadku sprawców przestępstw za pomocą zwykłego tekstu; jest też inna odpowiedź na temat przestępców, którzy dopuszczają się zwykłego tekstu.
-
Wysyłanie hasła w postaci zwykłego tekstu pocztą elektroniczną to zły pomysł. Mogą argumentować, że nie ma różnicy, kiedy nie dochodzi do ponownego użycia hasła, ale wątpię, czy nawet wiedzieliby, co to jest i dlaczego jest to uważane za złą praktykę. Ponadto ponowne użycie hasła jest tak powszechne, że nie byłaby to dobra odpowiedź.
Dodatkowo, ponieważ wydaje się, że pracują nad drugą częścią (nawet jeśli linki do resetowania hasła w zwykłych wiadomościach tekstowych e-maile są w tej samej sytuacji, tj. zagrożenie, które może odczytać hasło z wiadomości tekstowej, może również przeczytać link, może zanim to zrobisz), możesz im wyjaśnić problem z niehasowaniem z mojej odpowiedzi, też poczuj swobodnie łączyć tę odpowiedź bezpośrednio.
Może nawet wyjaśnij, że szyfrowanie jest jednym ze sposobów, ale zawsze można je odwrócić za pomocą odwrotnej funkcji danego systemu kryptograficznego, trafnie nazwanej deszyfrowaniem. Używanie terminów takich jak „szyfrowanie jednokierunkowe” i „szyfrowanie dwukierunkowe” zamiast „haszowania” i „szyfrowania” świadczy o braku zrozumienia.
Prawdziwy problem polega na tym, że wdrożenie resetowania hasła nie oznacza, że w przyszłości będzie (poprawnie) hashować; niewiele można z tym zrobić, poza używaniem menedżera haseł i utworzeniem długiego, silnego hasła, które jest unikalne dla tej witryny i ma nadzieję na najlepsze.
Jest to szczególnie ważne, ponieważ wydaje się, że chcą zachowaj część swojego systemu, która podaje personelowi Twoje hasło (z absolutnie żadnego powodu). Wynika z tego, że nie haszują poprawnie - twierdzą, że pracownicy widzą hasło tylko w tych trzech przedziałach czasowych logowania, co jest nieprawdziwe; jeśli aplikacja internetowa ma dostęp do klucza, tak samo może to zrobić personel administracyjny. Może już nie personel obsługi klienta, ale przede wszystkim nie powinni być w stanie tego zobaczyć. To okropnie zły projekt.
W zależności od Twojej lokalizacji, szkoły będące częścią sektora publicznego mają obowiązek posiadania CISO, z którym możesz się bezpośrednio skontaktować, wyrażając swoje obawy. I jak zwykle w sektorze publicznym powinna istnieć organizacja, która nadzoruje szkołę; powinni mieć przynajmniej CISO, który mógłby być całkiem zainteresowany tym postępowaniem.