Wenn Dir ein Onlinedienst Dein Passwort zuschickt, dann kann er es Dir auch gleich auf die Stirn tätowieren. Wenn er es lesen kann, dann kann es auch ein Dieb lesen.
Jetzt kommt vermutlich Dein berechtigter Einwand, dass das System das Passwort ja IRGENDWIE lesen können muss, wenn Du dich dami anmelden willst. Muss es aber nicht. Es gibt einen Trick, wie das System feststellen kann, ob das von Dir eingegebene Passwort mit dem in der Datenbank gespeicherten überein stimmt, ohne das Passwort zu lesen: Es bildet einen FINGERABDRUCK des Passworts. Zum Beispiel ist der MD5-Fingerabdruck des beliebtesten Passwortes aller Zeiten „123456“ gleich „e10adc3949ba59abbe56e057f20f883e“. Der Witz bei der Sache ist, dass man aus dem Fingerabdruck des Passworts das Passwort selber nicht ermitteln kann (oder mit so großem Aufwand, dass es sich für den Dieb nicht lohnt). Die Fingerabdrücke sind jedoch einzigartig. Das System fertigt von dem von Dir eingegebenen Passwort einen Fingerabdruck und vergleicht ihn mit dem gespeicherten Fingerabdruck des hinterlegten Passworts. Wenn die gleich sind, stimmen auch die Passwörter überein.
Es gibt daraus folgend KEINEN GRUND für das System, das hinterlegte Passwort auslesen zu können. Darum kann es so verschlüsselt werden, dass auch das System es nicht mehr auslesen kann.
Wenn Du das Passwort vergessen hast, kann es Dir aus diesem Grund vom System nicht geschickt werden. Es muss geändert werden. Darum schickt das System einen Link, um ein neues Passwort zu generieren. Davon wird wiederum ein Fingerabdruck gespeichert und das Passwort wird hoch verschlüsselt. (An dieser Stelle kann das System zudem die Fingerabdrücke von altem und neuem Passwort vergleichen und Dich dann dazu bringen, nicht dasselbe Passwort wie zuvor zu verwenden.)
Wenn Du also ein Passwort zugesandt bekommst oder auf der Website angezeigt bekommst, dann wurde das System nicht nach dem Stand der Sicherheitstechnik programmiert und Du solltest Dich beschweren.
Für Rückfragen stehe ich gern zur Verfügung.