Слабое звено безопасности

Вы предполагаете, что у такого человека есть доступ ко всей базе данных. Это не всегда так. Они могли наткнуться на страницу, на которой хэши случайно открываются пользователям (и, следовательно, не имеют доступа к другим частям БД), или они могли использовать SQL-инъекцию для извлечения определенных данных ограниченным образом (например, они могли догадаться, что ваша таблица пользователей называется users, но не то, что таблица ваших кредитных карт называется lolcats).

Еще одно соображение безопасности - это ваши внутренние ИТ-специалисты. Разработчики с законным доступом к базе данных, как правило, по-прежнему не должны видеть пароли всех пользователей в открытом виде.

Одна из причин заключается в том, что у большинства пользователей один и тот же пароль для нескольких учетных записей. Нехешированный пароль означает, что мои учетные записи на других сайтах могут быть скомпрометированы, тем более что электронная почта является обычным полем для входа в систему. С помощью хеширования паролей, если у сайта украдена их база данных, я защищаюсь от одновременного взлома моей учетной записи электронной почты.

Большинство пользователей будут повторно использовать пароли в нескольких системах. Если злоумышленник проникнет в вашу систему, вы не хотите, чтобы он мог использовать ваши данные для взлома учетных записей ваших пользователей на разных веб-сайтах.

Кроме того, если вы зашифруете данные с помощью пароля пользователя и сохраните только хэш пароля, злоумышленник не сможет ничего сделать, даже если он получит всю вашу базу данных, если он не сможет взломать хеши. Обратите внимание, что это сделало бы совершенно невозможным реализовать функцию «забытый пароль», если у вас нет способа расшифровать данные, используя ответ безопасности (что фактически делает его вторым паролем).