Dato: un utente malintenzionato ha ottenuto l'accesso (root) al server che ospita il database delle password di un'applicazione. Supponiamo che l'applicazione stia utilizzando un meccanismo affidabile di hashing della password come bcrypt e che il database delle password stia memorizzando le informazioni rilevanti: username, hash, salt, # iterations ...
È possibile impedire all'utente malintenzionato di creare il proprio utente amministratore nel database e accedere correttamente all'applicazione con tutti i diritti? Presumibilmente, potrebbero INSERIRE un nuovo utente amministratore nel database con la propria password crittografata. Saranno quindi in grado di accedere all'applicazione con diritti di amministratore completi.
C'è un modo per prevenire questo o mitigare un simile attacco all'applicazione?