パスワードの平文保存についてどう思いますか

ゆうちょダイレクトのパスワードを忘れたという手続きをすると、設定したパスワードが紙に印刷されて郵送されてきました。10年以上前の経験だったと思うので、さすがに改善されてるだろうと思って見ると、

https://faq.jp-bank.japanpost.jp/faq_detail.html?id=23

ご登録のログインパスワードを貯金事務センターから郵送。

と書いてますね。

マスコミ報道の場合、「パスワード」と「ハッシュ化されたパスワード」の区別が付いていない可能性もありますが。

平文で保存しているとすると、偉い人の思いつき「忘れた人には教えなきゃ駄目だろ」に反論できない弱いシステム担当と言うことなのでしょうかね。もし、それが理由だとすると、他にも色々問題がありそうです。

ユーザーのパスワードを平文保存していたことがわかりました。

正確なソースは辿れなかったのですが、当該サービスのパスワードは生ではなく、MD5ハッシュとして保存されていたようです。

ただし、ソルトがなかったのでレインボーテーブルなどの表引きが可能であり、比較的解読は容易だったとのことです。

（追記）

「質問内容に関係のない回答」という指摘を受けましたが、質問の前提が正しくないという指摘としての回答です。意見交換形式では修正依頼の自由記載欄がないので、回答側に書くより他に手段もありません。

やはりパスワードを平文保存しなければならない現場や平文保存しているサービスは多いのでしょうか?

そりゃだってさあ
質の低いサービスを提供してるとこは多いよ
スクールでセキュリティーとか教えないし
プロフェッショナルの誇りを持って仕事する人はウザがられて追い出されるか給料いいところの管理職に転職して中抜きで生活始めるし
結果プロとは名ばかりのコピペ職人が副業で作業してるのにどうして理想を求めるの？

このサイトだって技術者集団が作ってるはずなのに酷いもんでしょ

追記
質問内容に関係ないという修正依頼が届きましたが、質問にはちゃんと答えているので、何が関係ないと思ってしまったのか言葉で書こうよ

本当のことを書いたらスパムって修正依頼がきたw
このまま削除されて凍結されるんだろうなw

事実関係のみ。

「パスワードを平文保存していたことがわかった」という事実は確認できませんでした。某SNSで「パスワードハッシュって書いてないから平文のパスワードってことだよな」(大意) とか独自解釈している投稿は見かけましたが。

BreachForumsという掲示板サイトで、窃取したデータと思われるものの取引をもちかける投稿がなされ、その中で「ソルトのないMD5ハッシュ」を全体の半分は解読できたと主張しています。

• [Japan] pictSQUARE | 800K | phones, emails, unsalted MD5 | 4 XMR (otaku culture)

ちなみに、いまはもう販売してないそうです。

ソルトはレインボーテーブル攻撃に対する耐性を持たせるものですから、あったほうがいいです。ですがそもそもMD5は少ない空間計算量 (メモリ) と時間計算量 (計算時間) でハッシュを計算できるアルゴリズムです (提案された当時はそのことがよいことだと考えられていました) ので、総当たり攻撃には弱いです。計算機の性能が上がっている現代では適切な一方向ハッシュアルゴリズムではないです。

なので、上記の投稿主が持っているデータが本当に問題のサービスのユーザ情報であり、彼/彼女が言うようにMD5ハッシュを使っているのなら、比較的短い期間ですべてのパスワードが判明してしまうと考えられます。

質問への答えでなくてすみません。意見交換は質問にコメントがつけられませんので、質問の前提について指摘するにも回答欄で行うしかありません。

やはりパスワードを平文保存しなければならない現場や平文保存しているサービスは多いのでしょうか?

結構有ると思います。実際そのようなサービスの仕事もしたこともあります。