Da quanto ho capito, nella maggior parte dei siti, le password sono memorizzate come hash; non nella loro forma originale. Ciò significa che se il database viene violato, l'utente malintenzionato vedrà gli (quasi) hash inutili anziché le password effettive.
Affinché il sito Web possa autenticare il tentativo di accesso, blocca il tentativo di una password e controlla se corrisponde all'hash memorizzato. Se corrispondono, ti fa accedere, altrimenti lo nega.
Ho letto su molti siti sebbene nessun algoritmo hash possa produrre hash unici al 100%; le collisioni avverranno sempre.
Significa che, teoricamente, esiste un'altra password che darà lo stesso hash dato una funzione hash, il che significa che c'è potenzialmente più di 1 password che potrebbe essere usata per accedere con (anche se probabilmente l'altra password sarebbe essere quasi casuale per una complicata funzione hash)?