事業者は利用者のパスワードを閲覧できるのでしょうか

可能か不可能かということであれば可能です。 ただし運用上は不可能にしてあります。 でなければそのサイトの信用性は皆無ですからね。 なので業者の社会的立場を考えて信用するか怪しいかを判断する能力が必要でしょう。 大抵はパスワードを忘れても教えてくれません。教える方法が無いのです。 ですので古いパスワードを削除して新しいパスワードを再設定する手段を作っている訳です。

>このように、暗号化は運用が難しいために、パスワードはハッシュで保存することが一般的になりました。 http://www.atmarkit.co.jp/ait/articles/1110/06/news154_2.html パスワードが具体的に何か、はセキュリティに厳しいところだと分からないみたいです。 ですが事業者は利用者のパスワードそのものを閲覧できなくても、利用者のデータ自体を持ってる場合が多いわけで、興味ある人が事業者側にいたとしてそれをそのまま閲覧するだけではないんじゃないかと思います。

暗号化されているものなら見ることはできるでしょうね。 ただし、解読するプログラムを支える権限は、ごく一部の部署の人に限られます。 解読できなければ、試験や、そのパスワードを設定するプログラムを作る事などできませんからね。

不可能ではないですが、暗号化されているのが一般的なはずです。 AppleのiPhoneのパスワードがそうですよね。 アメリカで銃乱射事件(かな？)の犯人のiPhoneに証拠があるとして捜査当局がAppleに対しロックパスワードを回避して中を見られるよう依頼しているそうですが… ロック解除に二回失敗すると暗号化されて第三者が閲覧することが不可能になるそうです。Appleにも解読不可能という回答らしい。 犯罪捜査のためにバックドアを仕込めという依頼も拒否しているそうです。 ただ、Appleと同じことをしている事業者は稀だと思いますが、パスワードの暗号化はほぼ標準。 プレーンテキストとしてファイルやデータベースに保存しているようなところはセキュリティ意識がなさすぎると言ってもいいでしょう。 一般ユーザーには確認できませんけど… 内部資料として作成される利用者リストにもパスワードを記載しないのか普通です。 パスワードをわすれた時の照会手続きで、今使用しているパスワードを教えてくれるところはダメダメと思って間違いないです。 パスワードが簡単な方法でわかるということですからね。

以前はデータベースなどにパスワードを平文のままで保存する事が多かったので、データベースへのアクセス権限のある人なら閲覧することは可能でした。 最近は、セキュリティー上の問題からパスワードは一方向性関数を使った暗号化を行った上で保存する事が多いので、データベースの中を見てもパスワード自体は判らないようになっているケースが多いでしょうね。 あだ、全てのサービスが暗号化しているとは限らないので、事業者によっては閲覧可能ですね。

真っ当に考えている事業者であれば、パスワードは暗号化していて、事業者であってもわからないようにしている「はず」ですが、暗号化の仕方がまずかったり、そもそも真っ当に考えていない事業者は少なからずいるとは思います。 あと、パスワード自体はわからなくても、管理者権限で利用者が何をやっているかは調べられるようになっているシステムはあると思うので、パスワードがかかっているからといって、例えばそのサービスに預けたデータを見られないかというと、そう考えるのは甘いです。

データへのアクセス権限があれば、いくらでも可能ですが、正規の手続き無しでやったら、バレれたら首です。 あと、アクセス権限無くても、申請用紙などにパスワードやら記入して申し込みした場合なら、紙媒体で残るので、こっそりコピーされたら誰にでも分かります。

一般的に考えて、パスワードは暗号化されているはずなので、閲覧されても利用されることはないと思います。

理論上は取得しようと思えばいくらでも可能だと思います。 ですので、他のサービスと同じパスワードは使わないほうが良いです。 実際は入力されてデータベースに登録する時点で暗号化してしまうので 暗号化された文字列を見てもパスワードを推測することが困難な事が多いと思いますけれど。

可能です。 しかし、管理者にもレベルがあり、閲覧可能＋変更可能と閲覧不可＋変更可能とがあるでしょう。 通常は、後者です。