Diciamo che c'è una linea di applicazione aziendale che ha username / password datatable nel DB. L'indirizzo email personale non viene memorizzato e i nomi utente vengono assegnati da un amministratore. Qualcuno accede al database e scopre, tra le altre cose, i dati utente citati.
Perché si dovrebbe essere interessati alle password, quando ha accesso a tutti i dati nel database?
Gli utenti spesso riutilizzano la loro password, quindi puoi provare quelle password anche su altri database o applicazioni.
Puoi provare a trovare il loro indirizzo e-mail personale in modi diversi dal solo database (ingegneria sociale). Da lì puoi accedere al loro account paypal, a facebook, ecc.
Ad ogni modo se memorizzi la tua password senza alterare in un database qualcosa non va.
Forse l'autore dell'attacco poteva solo scaricare una copia di sola lettura del database.
Così sicuro, lei può vedere tutti gli altri dati segreti memorizzati nel database, e rispetto a quello le password potrebbero non avere molto valore.
Tuttavia, è solo impersonando un utente reale nel sistema live , che lei sarebbe in grado di influenzare le modifiche, ad es. modifica del saldo nel suo account, inserimento di record ed esecuzione di qualsiasi funzionalità aziendale supportata dal sistema (oltre alla semplice lettura dei dati).
A seconda del sistema, potrebbero esserci anche altri sottosistemi con cui parla e non solo l'archiviazione nel database. In questo caso, anche se l'utente malintenzionato è in grado di aggiornare il database, alcune delle funzionalità esterne potrebbero non essere disponibili senza la rappresentazione. E questo è quello che ti serve la password.