Hallo
Eben. Wenn ich an deine Daten will, dann attackiere ich nicht deine Datenbank, sondern deinen Application-Server. Der ist ohnehin viel einfacher anzugreifen und einfacher zu knacken. Irgendein PHP-Script wird mir die Türen weit öffnen, während der Datenbank-Daemon meist nicht öffentlich erreichbar ist und seltener remote-exploitable ist. Wenn ich mich auf dem App-Server eingenistet habe, dann ist sämtliche Verschlüsselung in der Datenbank hinfällig.
D.h. du speicherst Passwörter auch ungehasht in deiner DB weil man ja sowieso einfach nur den Application Server angreifen muss? :S
Hash != Verschlüsselung
Das ist mir klar. Im System ist man dann aber trotzdem bereits, und man braucht kein Passwort mehr.
Steht, wenn man das hört oder liest, auch dabei, ob in diesen Fällen die Datenbank oder der Webserver angegriffen wurde? Im Normalfall steht es nicht dabei, womit *das* kein Argument für oder gegen die Verschlüsselung auf DB-Ebene ist.
Nein steht nicht dabei. Aber wie im Fall von Adobe, waren dann die Datensätze auf zig Websites zum Download verfügbar. Da macht es auch keinen Unterschied mehr, wie die Daten gestohlen worden sind.
Und nochmal, mir ist klar, dass ein Hash keine Verschlüsselung ist.
MfG Naps