当有人忘记了他的密码时，没有太多可以建立的“密码重置”。使用电子邮件很弱，但几乎没有选择。

问题是他们将您的密码以明文形式发送给您，这意味着他们将您的密码存储在某个地方，不受保护。这很糟糕。如果您愿意公开指出并嘲笑他们，那么您可以在本站分享您的经验；然而，一般人对嘲弄的反应并不好。之前给他们发一封电子邮件是值得的：

• 如果有的话，它会提升你自己的自我。扮演故事中好人的角色总是令人欣喜若狂。
• 他们是一家与大学合作的教育公司：名义上他们应该知道知识的价值并乐于接受建议。
• 他们是一家与大学合作的教育公司：他们的用户是学生，从安全角度来看，他们是一群可怕的人：他们年轻，不完全理性，容易为了好玩而戳东西，他们有时间在他们的手，他们可以获得大量的计算能力。这突出了对真正良好安全性的需求。

无论如何，重复使用密码是不好的。您应该已经为他们的网站使用了特定的密码。通过将您的密码通过电子邮件发回，他们展示了草率的安全性，但假设普通网站做得更好是不现实的。每个站点一个密码是规则。当然，这意味着要管理大量密码；这可以通过一些像这样的密码管理器软件来解决。

我绝对认为值得告诉公司您对他们如何处理您的隐私的感受。我确信管理层经常不知道密码存储策略的技术细节或含义。

我已经两次遇到这种情况，结果好坏参半：

• T-Mobile：当您将电话号码提交到丢失的密码链接时，他们会向您的帐户门户发送明文密码。他们对听到这个问题不感兴趣。

• Jimmy Johns：忘记密码表单是通过电子邮件发送纯文本密码。我质疑这种做法，他们道歉并立即实施了密码重置代码。我不知道他们是否开始散列密码。

这是一种可怕的做法，我鼓励任何人向这样做的公司施加压力。

当然，你也可以告诉他们，但不要抱太大希望。根据我的经验，如果整个 IT 部门都不关心/不了解安全性，那么来自外部人员的电子邮件不会改变这一点。

使用一次性密码是个好主意。如果您的帐户被盗可能会影响您在本网站之外的生活，那么最好不要创建帐户。

如果您确实发送电子邮件，我建议将其发送到 IT 部门以及 CEO 办公室。如果他们担心遇到麻烦，您可能更有可能完成某事。