La experiencia le ha enseñado a la comunidad que efectivamente es imposible mantener alejados a los intrusos. Se trata de cuándo, y no si, alguien obtendrá acceso a su base de datos de contraseñas.
No importa si usted es un blog aleatorio o un departamento gubernamental de miles de millones de dólares, debe asumir que alguien algún día obtendrá acceso. Y muy a menudo, tendrán suficiente acceso para leer la base de datos, pero no suficiente para, por ejemplo, insertar un hombre en el medio que capture las contraseñas de texto simple como se usan para autenticar a alguien.
Por ejemplo, es posible que no pirateen su servidor primario, sino que solo piratean un servidor que contiene copias de respaldo de su base de datos.
Además, la mayoría de las organizaciones tienen muchos empleados. Un empleado no necesita piratear su red para ver la base de datos, es posible que ya tenga acceso sin restricciones (especialmente si son ingenieros o administradores de sistemas). Hay muchas razones por las que es una mala idea que sus empleados conozcan las contraseñas de los clientes.
Incluso si su sitio web no tiene ningún valor y no importaría que alguien lo pirateara. El nombre de usuario y la contraseña utilizados para iniciar sesión en su sitio web a menudo son exactamente los mismos que los utilizados para iniciar sesión en otros servicios mucho más importantes.
Por ejemplo, alguien podría escribir un bot que intente iniciar sesión en la tienda iTunes de Apple con cada nombre de usuario / contraseña en su base de datos, y si tiene éxito, comienza a comprar cosas a través de la tienda. Este ataque podría tener éxito hasta en el 10% de los usuarios de su base de datos, y muchos de ellos nunca notarán que se les ha facturado $ 4.99. Esto no es un ataque teórico, ocurre todo el día todos los días y los intentos de detenerlo no siempre tienen éxito.
EDITAR: Y en los comentarios, @emory hizo otro punto que olvidé: alguien podría presentar una citación o utilizar algún otro proceso legal para obtener acceso a la base de datos, lo que les permite ver las contraseñas de texto simple a menos que tenga un buen hash. Tenga en cuenta que no es solo la policía quien puede hacer esto, cualquier abogado privado con un caso legal sólido en su contra puede obtener acceso a su base de datos.