Quote Originariamente inviata da Alhazred Visualizza il messaggio
D'altra parte, se uno riesce a sapere l'hash di una password, vuol dire che ha avuto accesso al DB e in quel caso importa poco cosa hai usato per criptare le password, avendo il DB esposto si può fare quel che si vuole direttamente sulle tabelle senza necessità di fare il login al sito con un account.
Non è detto che abbiano avuto l'accesso diretto al database. Se hai una vulnerabilità sul tuo sito generalmente essa ti permette un accesso limitato a poche cose (ovviamente dipende dalla vulnerabilità). Quindi sapere l'hash di una password di un utente, magari con privilegi speciali, è un punto di partenza.

Inoltre è anche una garanzia che dai agli utenti. Molti utilizzano la stessa password per altri servizi (o una password simile). IN questo modo scongiuri che accedendo all'hash della pass del tuo sito, entrano anche nella email che utilizza la stessa password. (o comunque una tipologia di password: sapere che usi 3 nomi propri concatenati è una info che mi può tornare utile per configurare un attacco a dizionario mirato).