可能重复:
为什么不存储原始密码?
如果密码是数据中最不重要的部分,为什么会将加密的用户密码存储在数据库中?它似乎不会影响外部攻击; 每个帐户每天设置有限数量的登录尝试将是有效的.它似乎不会影响内部攻击; 如果有人可以访问密码,他们也可以访问数据库其余部分中更有价值的数据.
我在这里错过了什么吗?是不是应该使用用户密码加密整个数据库作为密码加密本身有效的密钥?
将他的帖子与他的问题结合起来:
好的,我以一种糟糕的方式问了这个问题.让我重新说一下.
如果有人闯入这个系统,他们拥有用户密码这一事实是我最不关心的问题之一.我将加密密码,但在我看来,数据库中的其他数据更有价值.假设如果内部攻击者拥有该数据,则他们不关心密码.
如果数据库中没有其他内容被加密,并且数据库中的其他所有内容都是攻击者实际想要的,那么加密密码实际上是否能解决任何问题?