Barrapunto

lo siento, pero como editor de la noticia tengo que decir que cuando se recibió el envío en bp, hice una prueba de recuperación de contraseña de una cuenta creada en la web http://www.eldiario.es/ [eldiario.es] y en dicho proceso, recibí un par de correos en mi cuenta de ídem que utilicé para dicha prueba, que detallo:

* en el primero de ellos con el asunto: "ha solicitado cambiar la contraseña" se indicaba un enlace que una vez "clickeado", dirigía a una página en la que se solicitaba introducir una contraseña nueva dos veces. y justo abajo, había un enlace que, bajo el nombre, recordar contraseña, enviaba esa página, supongo, al servidor.

* a continuación, y en el segundo de ellos y con el asunto "esta es su nueva contraseña", recibí un correo en el que aparece la nueva contraseña que introduje en el paso anterior en claro y en negrita.

la verdad es que, a pesar de las explicaciones de unos y otros, sigo tan desconcertado como cuando leí el envío la primera vez.

ciao!

Ok. No me había parado a ver el segundo correo (usaba la cuenta de correo que uso para el spam).

Entonces lo que sucede es que:

1) La contraseña no se guarda en claro, de ahí que no se pueda recuperar, sino que te obliguen a cambiarla. Esto está bien hecho.

2) Una vez cambias la contraseña, no la guardan, pero antes de terminar de procesarla te envían un correo. Esto en mi opinión es donde hacen una mala práctica, porque la contraseña viaja en claro pudiendo quedar en logs de correo o verse en algún punto intermedio por donde pase el mensaje. La contraseña sólo debería viajar entre ordenadores para identificarse o cambiarla, y hacerlo por protocolo seguro.

Parece que ya sabemos cuál es el origen de la noticia :)