Vieil article sur les mots de passe en clair.
Mais d'autres sites ont toujours cette problématique.

Extrait :
"""
La CNIL refuse tout stockage en clair ou réversible

Une méthode de conservation qui contrevient à toutes les recommandations de sécurité, notamment celles établies par la CNIL. Dans sa délibération n°2017-190 du 22 juin 2017 elle précise ainsi :

« La commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une fonction cryptographique non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l'utilisation d'un sel ou d'une clé »

Dit de manière plus claire, un service auquel peuvent se connecter des utilisateurs ne doit pas stocker le mot de passe en clair ou chiffré de manière réversible. Les développeurs doivent lui préférer une empreinte (hash) calculée avec une composante aléatoire qu'il est le seul à connaître (le sel).
"""

J'aime beaucoup cet avant/après : des choses changent, d'autres restent.