Supongamos que hay una aplicación de línea de negocio que tiene datos de nombre de usuario / contraseña en la base de datos. La dirección de correo electrónico personal no se almacena, y los nombres de usuario son asignados por un administrador. Alguien obtiene acceso a la base de datos y descubre, entre otras cosas, los datos de usuario mencionados.
¿Por qué uno estaría interesado en las contraseñas, cuando tiene acceso a todos los datos en la base de datos?
Los usuarios a menudo reutilizan su contraseña, por lo que también puede probar esas contraseñas en otras bases de datos o aplicaciones.
Puede probar y averiguar su dirección de correo electrónico personal a través de otras formas distintas a la base de datos (ingeniería social). Desde allí puede acceder a su cuenta de PayPal, Facebook, etc.
De todos modos, si almacena su contraseña sin copiar en una base de datos, algo está mal.
Quizás el atacante solo pudo descargar una copia de solo lectura de la base de datos.
Tan seguro, ella puede ver todos los demás datos secretos almacenados en la base de datos, y en comparación con eso, las contraseñas pueden no tener mucho valor.
Sin embargo, solo con la suplantación de un usuario real en el sistema live es posible que ella pueda afectar los cambios, por ejemplo, cambiando el saldo en su cuenta, insertando registros y realizando cualquier función comercial compatible con el sistema (aparte de simplemente leer datos).
Dependiendo del sistema, puede haber otros subsistemas con los que se habla, y no solo el almacenamiento en la base de datos. Si ese es el caso, incluso si el atacante es capaz de actualizar la base de datos, es posible que algunas de las funciones externas no estén disponibles sin la suplantación. Y para eso necesitas la contraseña.