稍微从事托管业务，我明白你的意思。简而言之，要求客户以纯文本形式提供密码是非常糟糕的做法，但所有公司都这样做。他们要么询问完整的密码，要么只询问最后几个字符。

我的观点是，在某些地方，例如专用服务器，在许多情况下，如果不要求管理员/root 密码，就不可能提供支持，然后对于共享服务器，支持人员应该能够使用他们自己的帐户直接进入。

我至少假设他使用您的密码将其与存储的哈希值进行比较，但许多此类托管公司的安全程序可能存在缺陷。我之所以这么说，是因为我知道 cPanel、Plesk 等不会以纯文本形式存储密码，因此他无法“读取”它。

但是，您应该在每次联系支持人员时更改您的凭据。你也应该在一个开放的论坛上写下这个，以便主人主动防止这种不当行为，因为他们可以很容易地使用辅助问题答案或电话等来验证一个人的身份。

通常，托管服务提供商不应通过实时聊天询问客户的个人详细信息（如控制面板、管理面板或 FTP 的密码）。此信息应通过客户联系电子邮件地址的票证提供，客户联系电子邮件地址以前用于在托管公司注册。

每次提出支持请求时我都应该更改密码吗？

是的（理想情况下，您希望特定技术在未来无法像您一样轻松登录）。尽管认识到如果您使用第三方服务进行网络托管（即使它是 VPS），您也不应该在其他任何地方重复使用该密码（理想情况下，90% 的时间都使用 ssh 私钥）。原则上，一个不可信的第三方服务可以很容易地秘密运行一个键盘记录器/rootkit 来捕获你的密码（特别是如果你刚刚选择了他们认为的介绍性虚拟机）。这将是相当不道德的；但

此外，他们必须在某处以纯文本形式存储用户帐户的密码，对吗？

可能。如果他们要求您提供完整密码；他们可能只是想看看它是否能从他们的角度工作（例如，直接将它与存储的哈希进行比较，或者只是像你一样登录系统）。如果他们要求提供部分密码；他们更有可能将其存储为明文或对其进行加密（并拥有将其解密为明文的密钥）。如果他们是管理员并处理帐户设置（例如计费目的；购买新服务），则他们不必以您的身份登录；但应该有一个管理员帐户，授予他们查看/更改您的帐户设置的权限。

这实际上取决于环境和您遇到的问题。理想情况下，您永远不会共享密码（如果您重复使用密码，员工不会将密码写下来，然后尝试使用您的信息侵入您的电子邮件/银行/等）。但是，如果您有 VPS（非共享主机）并且您报告可能与硬件相关的问题；他们在最后检查日志并且没有看到任何可疑的东西，并且想要仔细检查您的设置是否合理，他们可能想尝试登录到您的虚拟机以便自己查看并运行一些诊断程序；他们可能更容易测试自己，然后通过电话/网络聊天与您交谈并让您四处寻找他们（并且总是必须读回屏幕；或处理错误输入的命令）。