andreagdipaolo Da quanto ho capito, il fatto che ti inviino la password via mail non indica necessariamente che sia salvata in chiaro nei database. Dei colleghi mi hanno riferito che i database di Tiscali sono regolarmente crittografati, comunque.
Il problema è che neanche un amministratore di sistema deve essere in grado di risalire alla password di un utente. Altrimenti è in grado di (far) impersonare l'utente.
Inoltre un hash + salt richiede di "rompere" ogni password singolarmente. Se hai un database crittografato con una singola chiave una volta che la chiave è nota hai accesso a tutti i dati.
Queste sono le raccomandazione OWASP (Open Source Foundation for Application Security):
Password storage: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
Passoword sreste: https://cheatsheetseries.owasp.org/cheatsheets/Forgot_Password_Cheat_Sheet.html
