В любом случае, почему я должен заботиться о хешировании паролей?

Question

Если хакер имеет доступ к хэшам в моей БД, он в любом случае имеет доступ к остальной информации в БД. Так зачем ему пытаться расшифровать пароли? Должен ли я хранить пароли на другом сервере для остальных моих данных? Это единственный сценарий, в котором я могу представить его полезным.

Answer 1

Если приложение должно показывать информацию об оценке в университете, тогда доступ к паролю позволит вам получить оценки для этого человека. Если пароль также позволяет вам войти в систему онлайн-курса, вы можете отправить тесты от имени этого пользователя.

Если данные еще более конфиденциальны, такие как номера кредитных карт или медицинские карты, вы открыты для судебных процессов.

Скорее всего, более чувствительная информация может быть в более защищенной системе, за более сильными брандмауэрами, поэтому они могут найти уязвимость, взломав базу данных аутентификации.

Хэшируя пароль, те, кто имеет доступ к базе данных аутентификации, не смогут увидеть пароль и войти в очень чувствительную систему как другой пользователь.

Answer 2

Когда хакер получает доступ к вашей базе данных, это не означает, что он может получить доступ к процедурному коду, эти процедуры могут изменять базы данных за пределами взломанных баз данных или включительно, могут изменять другие процедуры.

Кстати, теперь я собираюсь у вас кое-что спросить: если пользователь взломан и у кого-то есть его или ее пароль, как вы объясните, что это не ваше приложение или ошибка безопасности?

Если у вас нет сохраненных паролей, у вас нет такой ответственности!