¿Por qué la opción Almacenar contraseñas con cifrado reversible está incluso ahí?

Sí, esa opción existe principalmente con fines de software / hardware heredados para admitir Autenticación CHAP . De lo contrario, no deberías habilitar esa configuración.

La razón por la que las contraseñas tienen que estar cifradas, en lugar de estar ocultas, en el servidor es porque el protocolo de autenticación CHAP Fue diseñado con una amenaza diferente en mente. Estaban más preocupados por la contraseña que se enviaba a través de la red en texto plano (estos eran los días de telnet, ftp y http, así que fue un logro). Así que implementaron un proceso mediante el cual el servidor enviaba una cadena aleatoria de desafío o nonce al cliente que el cliente debía codificar junto con la contraseña. Esto impidió que las personas rastrearan la contraseña de la red durante la transmisión.

Pero como el servidor necesitaba calcular si la respuesta del cliente era válida, también necesitaba acceso a una copia de texto sin formato de la contraseña para realizar el hash con el desafío. Así que cifran la contraseña para permitir que el servidor la descifre temporalmente y haga esta comparación utilizando el texto simple.

Hoy, cuando los protocolos más nuevos (como NTLM o Kerberos) desean implementar este mismo nivel de protección de red, solo calculan el hash de la contraseña primero en el cliente antes de realizar las otras transformaciones. De esa manera solo necesitan almacenar un hash criptográfico de la contraseña en el servidor.

La única vez que tendría sentido hacer esto es si las credenciales deben reutilizarse en otro sistema. Piense en un administrador de contraseñas como LastPass. El administrador de contraseñas no puede iniciar sesión en el otro sistema sin saber cuál es su contraseña.