Hallo und guten Tag,

das würde ich nicht so sehen. Wie kommst du auf diese Folgerung?

Also, ich hatte Jens verstanden ;-)

Einfachstes Szenario, ohne gleich an Hacker zu denken, ist doch, wenn einer der Datenbankprogrammierer sich ein Backup der User/Passwort-Tabelle mitnimmt für den Fall, dass er mal rausgeschmissen wird.

Wenn die Passworte nun gehasht drinstehen, kann er damit erstmal gar nichts anfangen. Je nachdem, welcher Hash-Algorithmus genutzt wurde, dauert es dann, bis die ersten Passworte im Klartext vorliegen. Bei SHA256 dürfte das wohl ein paar Monate in Anspruch nehmen, oder?

Aber zum Thema: Ja, Passworte sollten nicht im Klartext gespeichert werden, egal wie sicher einem seine Passwortdatenbank erscheint. Ein User könnte ja auch - wider besseren Rat - das Passwort auch anderswo benutzt haben, z. B. für seinen Mailaccount. Dann ist er leicht "ausräumbar".

Grüße
TS