Företag skickar lösenord i plaintext via email

Skapade precis ett konto och beställde en tjänst av ett företag.

När jag hade registrerat mig får jag ett konfirmationsemail av företaget, där alla mina kontaktuppgifter inklusive lösenordet står i plaintext.

Hur stor säkerhetsrisk är detta? Borde man nopea the fuck out eller är det oftast lugnt? Och betyder inte detta att företaget inte krypterar lösenordet i databasen?

Mejlet kan ha skapats i samband med att du registrerade kontot, och gått direkt från formulär till mailet som skickades ut, vilket inte är ovanligt eller konstigt. För att ta reda på om dom sparar ditt lösenord i ren text i sin databas så kan du prova att gå in på inställningar för att ändra ditt lösenord, eller använda deras "glömt lösenord" -funktion. Får du även där ditt lösenord i ren text så kan du höja varningsflaggorna.

Om företaget krypterar ditt lösenord i databasen eller inte har inget med mailen att göra.

Som skrivet.

En "rolig" anekdot i sammanhanget är att jag varit med om ett ännu värre helt bekräftat övertramp...
Glasögondirekt (numera Favoptic) brukade skicka ut reklambrev varje år (alltså fysiskt brev), med kunduppgifterna, inklusive lösenord - som kunden valt själv - i klartext. Ett exempel på vad man verkligen inte bör göra.

Dryckeshorn: Fast fysiskt brev anses ju vara säkert ändå. Så det ska ju inte spela någon roll. För det är ju ofta via fysiskt brev som man kan t.o.m. låna pengar, så då borde man kunna skicka ett sketet lösenord den vägen utan att det höjs några varningsflaggor.

Nej det är inte osäkert. Dagens emailkommunikation brukar ofta vara krypterad. På min domän sebbe.eu så är cirka 90 % av alla mejl krypterade med SSL/TLS, t.o.m. nyhetsbrev via mejlinglistor är krypterade.
Så även mejlkommunikation har blivit relativt säker idag.

Inget att oroa sig för. Sedan antar jag att det kontot du har hos företaget inte innehåller något mer känsligt än din leveransadress, eller rentav inte ens det utan bara tjänsten du beställde, och då är det inte hela världen om ditt konto hos det företaget blir "hackat".

Alltså, det är alltid dåligt att skicka eller visa något i klartext. Men i detta fall så är det antagligen ingen fara då de skickat mailet och sedan hashat ditt lösenord.

För att hitta hemsidor som sparar lösenord i klartext så ska du be om en lösenordsåterställning och visar det sig att de skickar ett mail likt "Hej, detta är ditt lösenord: abc123" så sparar de med största sannolikhet lösenord i klartext.[sic]*

[*] Detta behöver inte vara sant då de också kan använda symmetrisk kryptering.