Тот кто не видит обычного и красного не увидит.

И какое это имеет отношение как хранить пароли в БД и к тому что посторонним не место в БД? Юзверы пусть делают что хотят, это их дело. Из сферической сферы обсуждение так и не вышло. Разницы нет.

пользователи использующие сложные пароли все еще будут защищены, даже при хищении базы с солеными хешами

Я где-то говорил про посторонних в БД?
Не вижу смысла в дальнейшем обсуждении, Вы всё равно не привели ни одного стоящего аргумента.

Дело в том что навредить могут необязательно посторонние. Не читали историй про злобных и обиженных уволенных админов?)

Вы вообще не привели ни одного аргумента.

Нет, не читал.

То, что Вы игнорируете мои посты, не означает, что я не привёл аргументы.

Да хранить можно как угодно... главное перед регистрацией предупреждать надо пользователя о том что пароль будет виден администратору сайта и т.п. А там уж пользователь сам решит стоит свой вездешний вбивать или что-то новое придумать.. Вот этим меня вконтакт раздражает, тем что пароли хранит как есть, но не предупреждает об этом юзверей. Я лишь узнал об этом когда восстанавливал свой пароль, а они мне его обратно прислали как есть на мыло. То есть не новый сгенереный, а старый.

Gozar,
аргументы:
1) Если зайдет кто-нибудь посторнний в БД, то сможет взять пароль юзера
2) Юзерам неприятно то чувство, что к их аккаунту есть доступ от администратора, хотя понимают, что читать он перписку чью-нибудь не будет
3) Зачем хранить в открытом виде вообще, если можно хранить в более защищенном?

B@rmaley.e><e,
Это не аргумент, поэтому я и проигнорировал. Меня так же не интересует на какой стороне спит пользователь. Это его сугубо личное дело. У многих пароль написан на стикере приклееном в монитору.

Ничего они не понимают и нужно всегда осознавать, что админ имеет доступ к твоей переписке. Там где начинаются деньги заканчиваются сопли про защищённость. Поэтому вконтакте плевать на то, как хранить пароли.

Эка невидаль, паролько не главное. Можно спокойно делать что угодно на сайте и без пароля юзверя, а имея доступ к БД вообще наплевать на пароли.

Развели тут демагогию про защищённость и секретность. Давайте без показушности. Хранение паролей имеет ряд преимуществ и недостатков.

Недостаток:
1. Можно получить доступ к многим аккаунтам одновременно, если нет дополнительной защиты. Это пожалуй самый серьезный недостаток.

Преимущество:
1. Не нужно морочить пользователю голову и заставлять его трахать себе мозг ссылками с новыми паролями. Это одно из самых серьезных преимуществ. Единицы не любят получать пароли и тысячи любят получать их, а не тратить время на процедуры "криворуких программистов", которые придумывают всемозможные "издевательства" для бедных пользователей.

Любое действо имеет ряд перимуществ и недостатков.

Доступ к БД бывает разный. С помощью SQL-inj можно утянуть интересные данные, но очень редко удаётся изменить их.