L'expérience a appris à la communauté qu'il est effectivement impossible d'éloigner les intrus. Il s'agit de savoir quand, et non si, quelqu'un aura accès à votre base de données de mots de passe.
Peu importe que vous soyez un blog aléatoire ou un service gouvernemental de plusieurs milliards de dollars, vous devez supposer que quelqu'un y aura un jour accès. Et bien souvent, ils auront un accès suffisant pour lire la base de données mais pas un accès suffisant, par exemple, pour insérer un homme du milieu qui saisit les mots de passe en texte brut lorsqu'ils sont utilisés pour authentifier quelqu'un.
Par exemple, ils peuvent ne pas pirater votre serveur principal, ils peuvent uniquement pirater un serveur contenant des copies de sauvegarde de votre base de données.
De plus, la plupart des organisations ont de nombreux employés. Un employé n'a pas besoin de pirater votre réseau pour afficher la base de données, il peut déjà avoir un accès illimité (surtout s'il s'agit d'un ingénieur ou d'un administrateur système). Il y a de nombreuses raisons pour lesquelles ce n'est pas une bonne idée pour vos employés de connaître les mots de passe des clients.
Même si votre site Web est totalement sans valeur et que quelqu'un le pirate. Le nom d'utilisateur et le mot de passe utilisés pour se connecter à votre site Web sont souvent exactement les mêmes que ceux utilisés pour se connecter à d'autres services beaucoup plus importants.
Par exemple, quelqu'un peut écrire un robot qui tente de se connecter à iTunes d'Apple stocker avec chaque nom d'utilisateur / mot de passe dans votre base de données, et en cas de succès, il commence à acheter des choses via le magasin. Cette attaque peut réussir pour jusqu'à 10% des utilisateurs de votre base de données, et beaucoup de ces utilisateurs ne remarqueront même jamais qu'ils ont été facturés 4,99 $. Ce n’est pas une attaque théorique, cela se produit toute la journée tous les jours et les tentatives pour l’arrêter ne réussissent pas toujours.
EDIT: Et dans les commentaires, @emory a fait un autre point que j'ai oublié: quelqu'un pourrait déposer une citation à comparaître ou utiliser un autre processus légal pour accéder à la base de données, lui permettant de voir les mots de passe en clair à moins que vous n'ayez un bon hachage. Notez que ce n'est pas seulement les forces de l'ordre qui peuvent le faire, tout avocat privé ayant une solide affaire juridique contre vous peut accéder à votre base de données.