Kdybyste to nenapsal zrovna vy, myslel bych si, že si tu někdo dělá škodolibou legraci. Výrok, že se hesla hashují kvůli PR, je přinejmenším kandidát na myšlenku roku.
Heslo se zabezpečuje tak, že ho nikdo jiný kromě mne nesmí znát. Když heslo někomu prozradím, třeba provozovateli serveru, bezpečnost klesla asi tak na jednu promile. Nemám pod kontrolou, co se s tím heslem děje.
Jako provozovatel jsem v situaci, kdy mi někdo prozradil heslo, což je ten největší bezpečnostní problém. Ale OK, uživatel neměl jinou možnost, takže mi to heslo prozradil a já se s tím musím nějak popasovat. Co se může stát při zneužití hesla? Jedna možnost je, že uživatel to samé heslo nikde jinde nepoužívá - takže heslo lze zneužít jenom v té mé službě. To ale jako provozovatel můžu i bez hesla. Nebo uživatel to samé heslo používá i jinde - takže mi dobrovolně odevzdal své heslo k jiným účtům, nejspíš i k e-mailu, a e-mail mi určitě také prozradil. No to jsou ale zásadní bezpečnostní chyby uživatele. Ale když už mi to heslo uživatel posílá, může se s ním dít spousta věcí. Můžu ho spolu s e-mailem záměrně ukládat a pak databázi prodat. Může být v aplikaci chyba, která hesla někam prozradí. Může třeba někdo do kódu aplikace propašovat něco, co posbírá hesla a někam je pošle, může dokonce posbírat jenom nějaká zajímavá hesla, aby se snížila pravděpodobnost odhalení. Nebo také mohou uniknout hesla uložená v databázi.
Všichni se soustředí jenom na ten poslední bod, neřeší všechny ostatní. Neřeší ty bezpečnostní průšvihy, že heslo uživatele opouští prohlížeč (s čímž uživatel nic dělat nemůže) ani že uživatel používá stejné heslo na více místech (s čímž uživatel něco dělat může). Když bude uživatel používat unikátní hesla, bude ho na úniku dat zajímat heslo nejméně, protože jeho heslo v těch datech bude ten nejméně zajímavý údaj.
Ano, trvám na tom, že hashování hesel je jenom PR pro případ, že by hesla unikla. S reálnou bezpečností to nemá nic společného, protože jako uživatel nevíte vůbec nic o tom, jak provozovatel serveru s hesly zachází - a hashování hesel rozhodně nestačí.