No, questa non è una buona pratica. Ci sono due problemi distinti.
-
crittografare la password invece di hashing è una cattiva idea ed è al limite l'archiviazione di password in testo normale. L'intera idea delle funzioni hash lente è contrastare l'esfiltrazione del database utente. In genere, ci si può aspettare che un utente malintenzionato che ha già accesso al database abbia anche accesso alla chiave di crittografia se l'applicazione Web vi ha accesso.
Quindi, questo è un testo in chiaro al limite; Ho quasi votato per chiuderla come un duplicato di questa domanda, perché è quasi la stessa e la risposta collegata si applica quasi direttamente, specialmente la parte sui trasgressori del testo in chiaro; c'è anche un'altra risposta sui trasgressori di testo in chiaro.
-
inviare la password in testo semplice tramite e-mail in testo semplice è una cattiva idea. Potrebbero sostenere che non c'è differenza quando non viene riutilizzato la password, ma dubito che sappiano anche di cosa si tratta e perché è considerata una cattiva pratica. Inoltre, il riutilizzo della password è così comune che non sarebbe una buona risposta.
Inoltre, poiché sembrano funzionare nella seconda parte (anche se i link per la reimpostazione della password in testo normale le e-mail sono nello stesso campo di baseball, ovvero una minaccia che può leggere la password dalla posta in testo normale può anche leggere il collegamento, forse prima che tu possa), potresti spiegare loro il problema di non hashing dalla mia risposta, anche sentire libero di collegare questa risposta direttamente.
Forse anche spiegare che la crittografia è un modo, ma può sempre essere invertita dalla funzione inversa del sistema crittografico in questione, giustamente chiamata decrittazione. L'utilizzo di termini come "crittografia unidirezionale" e "crittografia bidirezionale" anziché "hashing" e "crittografia" mostra una mancanza di comprensione.
Il vero problema è: l'implementazione di una reimpostazione della password non significa che in futuro verranno hash (correttamente); non c'è molto che tu possa fare al riguardo se non usare un gestore di password e creare una passphrase lunga e sicura che sia unica per questo sito e sperare per il meglio.
Ciò è particolarmente vero poiché sembrano volerlo conserva la parte del loro sistema che dice al personale la tua password (per nessuna buona ragione). L'implicazione è che continuano a non eseguire l'hashing correttamente - dicono che il personale può vedere la password solo in quel periodo di tre login non è vero; se l'app web può accedere alla chiave, può farlo anche il personale amministrativo. Forse non è più il personale dell'assistenza clienti, ma non dovrebbero essere in grado di vederlo in primo luogo. Questo è un design orribilmente pessimo.
A seconda della tua posizione, le scuole come parte del settore pubblico hanno l'obbligo di avere un CISO che puoi contattare direttamente, esprimendo le tue preoccupazioni. E come al solito nel settore pubblico, dovrebbe esserci un'organizzazione che supervisiona la scuola; dovrebbero avere almeno un CISO, che potrebbe essere piuttosto interessato a questo procedimento.