Какой смысл в соли и хешировании, если база данных доступна?

Если это так, то зачем хакеру восстанавливать пароль, если у него уже есть доступ к базе данных?

Причин много. Вот некоторые из них:

1. Люди повторно используют свои пароли, поэтому предотвращение утечки реальных паролей снижает влияние такой атаки.

2. Без настоящих паролей хакер все равно не сможет войти в систему и, скажем, разместить новые записи во взломанной системе.

3. Кто сказал, что вся информация хранится в базе данных? Что, если база данных состоит исключительно из имени пользователя и хешированных/соленых паролей? Тогда знание содержания не очень помогает.

Если у вас есть открытые пароли и адреса электронной почты из базы данных, вы можете нанести ущерб! Речь идет не о получении учетных данных для входа на сайт, который уже взломан, а о получении информации для входа на другие сайты.

Большинство людей не используют один пароль только для одного сайта, поэтому, если у вас есть пароль для их основного адреса электронной почты, вы, вероятно, имеете доступ ко ВСЕМ их учетным записям на каждом сайте (путем сброса пароля).

Владение записями пользователей из базы данных не обязательно означает, что у вас есть доступ к базе данных. Через некоторую утечку на веб-сайте (привет, SQL-инъекция) вы можете получить доступ к данным, к которым у вас не должно быть доступа, без необходимости компрометации всего сервера. Плохо управляемые резервные копии, общие серверы, некомпетентные или злонамеренные сотрудники — все это может сделать это возможным.

Кроме того, что, возможно, более важно, вам необходимо защитить пароли ваших клиентов на других сайтах. К сожалению, люди повторно используют свои пароли повсюду. Если ваша крошечная база данных чата будет скомпрометирована, пароли людей на их банковских сайтах могут быть скомпрометированы вместе с ней.

Соль используется для того, чтобы одинаковые пароли имели разные хэши, что усложняет попытку выяснить пароли.

Хеширование делает так, что генерация пароля с помощью методов грубой силы занимает очень много времени (особенно с SHA2), так что это делает «невозможным» узнать пароль.

Хэш не принесет вам пользы, если вы не знаете пароль, так как ввод хэша в поле пароля не сработает (очевидно).

Обычно хакеры находят только таблицы пользователей и, возможно, некоторую базовую информацию, но если они хотят получить доступ к этой информации о пользователях и что-то изменить, им нужен фактический пароль (поскольку они не знают всей схемы БД, изменение чего-либо может выглядеть очень подозрительно). и его легко отследить, если вы законно не войдете в систему как человек)

Последнее, о чем я забыл, это то, что люди используют пароли повторно. Так что, возможно, вы взломали какой-то случайный сайт, на котором нет полезной информации, но человек использовал ту же комбинацию пользователя и пароля в своем онлайн-банкинге. Это может быть очень плохо, как вы можете видеть, поэтому невозможность легко распознать пароль является ключевым моментом.

Предположим, злоумышленник каким-то образом получает доступ к резервной копии базы данных, содержащей невосстанавливаемые хешированные пароли. Тогда у них есть все данные, которые были там вчера, что довольно плохо. Но, по крайней мере, у них нет доступа к данным, которые будут там завтра, и они не могут ничего удалить с реального сайта, испортить его, запустить вредоносное ПО через свою CMS и т. д.

Предположим, злоумышленник получает пароли всех пользователей в открытом виде, особенно если в их число входит администратор. Упс.