L'esperienza ha insegnato alla comunità che è effettivamente impossibile tenere fuori gli intrusi. Si tratta di quando, non se, qualcuno avrà accesso ad un database delle password.
Non importa che tu sia un blog a caso o un dipartimento governativo da diversi miliardi di dollari, devi presumere che qualcuno un giorno possa accedervi. E molto spesso, avranno abbastanza accesso per leggere il database ma non abbastanza accesso per, per esempio, inserire un man-in-the-middle che raccoglie le password in chiaro mentre sono utilizzate per autenticare qualcuno.
Ad esempio, potrebbero non hackerare il tuo server primario, potrebbero solo hackerare un server che contiene copie di backup del tuo database.
Inoltre, la maggior parte delle organizzazioni ha molti dipendenti. Un dipendente non ha bisogno di hackerare la rete per visualizzare il database, potrebbe avere già un accesso illimitato (specialmente se sono un ingegnere o un amministratore di sistema). Ci sono molte ragioni per cui è una cattiva idea per i tuoi dipendenti conoscere le password dei clienti.
Anche se il tuo sito web è completamente inutile e non sarebbe importante se qualcuno vi si intromettesse. Il nome utente e la password utilizzati per accedere al tuo sito web sono spesso identici a quelli usati per accedere ad altri servizi molto più importanti.
Ad esempio, qualcuno potrebbe scrivere un bot che tenta di accedere al negozio iTunes di Apple con ogni nome utente / password nel database e, se ha successo, inizia ad acquistare cose attraverso il negozio. Questo attacco potrebbe avere successo per ben il 10% degli utenti nel tuo database e molti di questi utenti non noteranno nemmeno che sono stati fatturati $ 4,99. Questo non è un attacco teorico, accade tutto il giorno ogni giorno e tenta di fermarlo non sempre riesce.
EDIT: E nei commenti, @emory ha fatto un altro punto che ho dimenticato: qualcuno potrebbe archiviare un mandato di comparizione o usare qualche altro procedimento legale per ottenere l'accesso al database, consentendo loro di vedere password in chiaro a meno che non si disponga di un buon hash. Nota che non solo le forze dell'ordine possono farlo, qualsiasi avvocato privato con un solido procedimento legale nei tuoi confronti può ottenere l'accesso al tuo database.