是的，这是正确的。安全原则规定您应该能够设置自己的密码。

这绝对是一个不好的做法。这意味着没有密码散列机制，应用程序知道其用户使用的密码。

我建议您不要在其他在线活动中使用相同的密码。

我会重申这是非常糟糕的做法，但根据您的情况，它可能只是“差”而不是“灾难性”。

例如，如果您使用这些凭据访问的计费信息仅显示用户编号 3187987 当月的功耗（该编号是唯一的且与个人或地址无关），则违规不会泄露太多敏感信息。

有些系统是故意设计的。我们不知道这是否适用于您的情况。

我鼓励你给你的委员会发电子邮件，解释你为什么担心当前的情况（一定要让我们知道他们说了什么）。

另一种解决方案，只是为了缓和所有这些令人讨厌的犯规：密码被散列并存储为与服务器中的用户名相关联，并且“安全问题”的答案（我们必须假设存在）用于散列密码. 这是主要问题的解决方案：对密码进行哈希处理，以便我们必须假设的服务器不存储答案，而只是发送解密密码的明文，而不管其正确性如何。现在，哈希不会很强大，但这会起作用。至于通过纯文本发送，如果有人阅读您的电子邮件，他们可以对您做很多事情，例如，重置您的 Paypal 密码（通过自己使用密码重置链接）。他们到底为什么要费心阅读你的账单？