У меня всегда складывалось впечатление, что хранение паролей в базе данных в виде обычного текста (как это сказал кто-то еще) очень плохое.
Исторически сложилось так, что большинство требований к кодированию на стороне сервера были переданы группе программистов. Они хранят пароли в базах данных MySQL в виде простого текста.
В качестве резидентной кодовой обезьяны (кстати, первая опытная обезьяна на стороне сервера, чтобы работать здесь, так что я наследую землю, если можно так выразиться). У меня есть эта яма желудка, чувствующая, что это моя задница, которая будет на линии, когда используется эта простая глупость.
Я попытался объяснить моему боссу, как очень плохие простые текстовые пароли, но это меня осенило: я не думаю, что когда-либо знал, почему они так плохи. Есть ли больше, чем раздавать хакерам список паролей на серебряном блюде? Это звучит достаточно плохо для меня, но на ла-ла-земле, где наши сайты "безопасны" и непроницаемы для любого хакера, этот аргумент, похоже, не сокращает его. Как я могу убедить (или напугать) моего босса требовать хеширования на его заветных сайтах?
Связанный: Шифрование/Хэширование текстовые пароли в базы данных