Le password degli Utenti finali sono archiviate nel Database che è crittografato (usando hash unidirezionali come MD5). A parte me, ci sono "altre" persone appartenenti ad altri team che hanno accesso al Database che significa accesso allo schema e alla tabella particolare in cui sono archiviate le password. Da altri team, intendo Amministratori di database che cercheranno di conoscere lo scopo di una colonna & tabella per la creazione di indici, normalizzazione ecc. Altri team includono anche amministratori di sistema che effettuano regolarmente backup.
Anche se sto usando un hash unidirezionale, ci sono siti che aiuteranno a decifrare queste password confrontandole con il loro Database.
Quindi, è buono come esporre le password degli utenti finali a "altre" persone che non intendono conoscerle. Non riesco a limitare le autorizzazioni di visualizzazione di queste tabelle a "altre" persone che devono lavorare su queste tabelle anche per altri motivi.
È una questione di etica. Ma un attaccante non ha etica (è quello che io credo).
Che opzioni ho a riguardo?