并不真地。

知道 example.com 是一个明文违规者，对我对该网站的大规模泄露帐户没有多大帮助。我可以尝试破坏他们的对等路由器以嗅探他们所有传出的电子邮件，但这将非常困难，因为该路由器可能会得到适当的保护。试图攻击他们的网站本身可能更有希望。

通过明文攻击者成为可能的更合理的攻击场景针对的是个人用户和他们使用的所有网站，而不是个人服务的所有用户。当攻击者可以读取私人用户的邮件通信时（比使用专业管理的系统更合理），他们可以获得他们注册的所有明文违规服务的登录凭据。这意味着攻击者更愿意寻找易受攻击的用户，以便他们可以获取随机网站的登录信息，而不是寻找易受攻击的网站以获取随机用户的登录信息。

此外，找出哪些网站是 PTO 很简单：您只需注册一个帐户就知道了。全自动帐户注册是垃圾邮件发送者非常高效的事情。

这是通常的漏洞披露辩论：当您发现漏洞时，您会如何处理它？立即将其公之于众可以认为是“帮助攻击者”；但是，与受影响系统的运营商或供应商私下讨论可能会令人不快；特别是，一些供应商或服务器所有者倾向于将任何此类私人警告视为敲诈勒索，并报警。

一些安全研究人员希望从他们的工作中赚钱；许多人想要名声；不少人都想要两者。立即发布安全问题的责任值得怀疑，但对研究人员来说“更安全”，并且带来名声的可能性最高（并且带来金钱的可能性最低）。

使问题更加复杂的是，“明文违规者”是由对信息安全只有粗略了解的人设计和管理的网站；因此，不能指望他们以最有可能带来快乐结果的技术敏捷性和相互尊重做出反应（研究人员得到了钱和名声，漏洞得到修复，服务器所有者看起来是一个优秀而高效的安全管理者问题）。从一个诚实的研究人员的角度来看，这样的网站看起来很麻烦。您可以与 Google 或 Microsoft 进行安静的技术聊天；对于存储明文密码的网站（并且通常通过电子邮件发送密码！），戏剧是绝对可能的。

正如其他人所指出的，以明文形式存储密码并不会真正增加攻击的可能性；当它们发生时，它们会使它们更具破坏性。目标不是更容易，而是更多。从这个意义上说，PTO 并没有真正帮助攻击者。

（PTO 的总体策略是让公众足够了解，以便能够对网站所有者施加一些压力，最终导致一个更安全的 Web。这是通过点和羞耻的教育——理论上它应该在资本主义的自由市场，客户是最终的力量。但是，我认为 PTO 远未达到那种程度的名声。他们需要一个标志、一个更干净的网站、宣传视频和乔治克鲁尼的代言， 至少。）

我同意所有知识都可以用于善恶的观点，但在 PTO 的情况下，我真诚地相信他们的主要目标是“羞辱”以纯文本形式存储用户密码的网站，从而使用户面临安全风险.

正如他们在网站上提到的那样，即使用户足够聪明并创建了最强的密码，如果网站以纯文本形式存储或使用易于可逆的加密，那么它也很容易受到攻击。

我认为这是关于对人们进行密码安全教育，同时也批评或羞辱那些没有采取必要预防措施来保护用户帐户信息的网站。