Dove potrebbe tenerli a parte un database? Memorizzando le password altrove intendo un database non tradizionale.
Permettimi di spiegare. Un paio di miei amici gestiscono siti Web ad alta sicurezza. Avevano bisogno di qualcuno per pentestare il loro sito web e vedere se qualcuno potesse rubare le password. Quindi, naturalmente, mi hanno chiesto se lo avrei fatto. Sono stato in grado di accedere al server e al database, ma non ho password né indirizzi email. Tutte le informazioni dell'utente erano inesistenti. Ho chiesto loro come l'hanno fatto, ma non me l'hanno detto. Non hanno utilizzato token di autenticazione o password una tantum.
Quali altri metodi sono i loro per memorizzare le password in modo che anche se un hacker compromette il server sarebbe estremamente difficile per lui ottenere informazioni sugli utenti, nemmeno una password con hash?
EDIT: Non sto chiedendo come usare la password hash, sto chiedendo quali alternative esistono per memorizzare una password in un database non tradizionale.
EDIT # 2: l'articolo è stato rimosso a causa di critiche