Значение хэширования/шифрования паролей в большей схеме вещей

Question

Если кто-то может получить пароли из базы данных моего приложения, они могли бы просто получить данные вместо этого, потому что в конце дня никакой хакер действительно заинтересовался только паролем. Я бы себе представлял, поэтому какова реальная ценность скрытия паролей пользователей? Сохраняло бы безопасность данных безопасности и данных приложений в разных базах данных, предполагая, что если они могут попасть в одну базу данных, они не могут попасть в другую?

Answer 1

Скрытое значение пароля может использоваться для атаки на учетную запись пользователя в другом месте. Это особенно актуально, если значение ваших данных потенциальному злоумышленнику воспринимается как низкое.

Это довольно распространенный сценарий атаки. Вместо того, чтобы грубо заставлять чью-то учетную запись в Google, вы грубо заставляете свою учетную запись на mydinkyforum.com, где нет CAPTCHA и нет блокировки учетной записи из-за ее естественной чертовой природы. Затем попробуйте восстановить пароль в Google. Вы будете удивлены.