No pensé en esto antes, pero hoy me di cuenta de que en los sitios de Soke, la recuperación de pw es posible si conoce las respuestas a preguntas de seguridad como
¿Cuál es el apellido de soltera de tu madre?
En este caso, ¿las respuestas a las preguntas de seguridad deben estar escritas o no?
depende de cómo planeas usar las respuestas.
Si espera realizar una comprobación automática estricta, trátelas como contraseñas y aplique una función de derivación de claves como bcrypt / scrypt. (Pero recuerde, que BCrypt usa solo los primeros 72 caracteres de cadena para el hash. ¿Es eso suficiente para su caso?)
por otro lado, si existe la posibilidad de soporte telefónico y desea que los operadores de llamadas interpreten las respuestas de los usuarios, necesita almacenar cadenas tal como están
p.s. El uso de funciones hash simples (como md5, sha) no es la respuesta a este problema en ningún caso
Desde la perspectiva de tener una respuesta tan simple como la protección del nombre de una madre, por ejemplo, en el lado del servidor web, las respuestas son más que probables.
La misma historia es para su máquina local, para la cual su contraseña de administrador, aunque sea tan simple, como el nombre de la madre, también se mantiene en forma de hash.
Por lo tanto, mantener el hash en lugar de la contraseña protege a este último, sin embargo, si es tan simple como el nombre de una madre, es arriesgado ser pirateado por ambos: el ataque de diccionario y el ataque de fuerza bruta.
Lea otras preguntas en las etiquetas password-management hash