如果是“忘记密码？” 页面会通过电子邮件发送您的旧密码，这是否是确定的证据证明他们已将密码存储为纯文本格式？

当网站通过电子邮件发送您的旧密码（而不是要求您在网站上重置密码）时，我想知道这对他们的安全措施意味着什么。

这是否意味着他们为了方便起见将密码存储在纯文本中，还是仍然可以对密码使用加密？

当密码存储在数据库中时，他们可能正在使用加密，但是根本不应该以可检索的格式（无论是加密的还是其他方式）存储密码。

他们应该对密码进行单向哈希处理（另加salt）。这意味着他们可以检查您现在输入的密码是否与您之前输入的密码匹配，但是他们（或一些有权访问其数据库的破解者）无法确定密码。对密码进行加密意味着破解者必须找到数据库和加密密钥，但是由于密钥必须位于服务网站的服务器上，因此这几乎是不可能的。

因此，如果他们可以向您发送密码，则意味着他们没有遵循众所周知的安全性最佳做法。

这样的错误做法是在您注册的每个网站上使用不同密码的一个很好的理由。

即使它是加密和安全的，该电子邮件也绝不是安全的。

您确实知道，通过使用电子邮件，您的密码现在几乎
可以肯定地以纯文本形式存储在许多其他位置：

• 在他们的邮件服务器上
• 在您的电子邮件提供商的服务器上
• 在计算机的浏览器或电子邮件存储目录中
• 在可能一直在“侦听”的任何人的硬盘驱动器/日志上
• ...而且很可能在您和该站点之间的任何 Internet跃点上。

正如Dave所说，他们可以并且希望使用加密技术，但是我见过以纯文本形式存储密码的网站。当您单击“我忘记了密码”按钮时，他们也可能会生成一个新的临时密码，即您首次登录时必须进行更改。最重要的是，您不知道他们如何存储密码，除非该站点由获得支持的同一公司托管，而且他们只有几个人，所以您不太可能会问到任何会知道它是如何存储的，即使他们确实知道也不大可能告诉你。

答案是否定的-这不是任何证据。

无论如何，您都无法知道密码在内部的存储方式。他们很可能正在使用像mysql这样的数据库，并且可能是因为它们在数据库内部未加密。但是，他们仍有可能有意识地将整个数据库存储在某些加密的媒体（例如TrueCrypt）中。您所能做的就是希望他们已采取足够的措施保护您的隐私。