Yerf!

Immerhin hätte der bei einem DB-Dump _alle_ Passwörter und nicht nur die paar, die er durch Sniffen abfangen kann, weil sich zufällig ein paar einloggen.

Was ich hier noch anmerken würde: wenn ein Angreifer einen DB-Dump hat, dann hat er mehr als nur die Passwörter und je nach Anwendung wären die vielleicht das letzte worum ich mir dann sorgen machen müsste...

Was ich damit sagen will: nicht soviel in die Passwortverschlüsselung stecken, sondern lieber in die Sicherheit des DB-Servers selbst.

Gruß,

Harlequin