Pa ako neko ima potpuni read/write pristup bazi - zaista ne vidim zašto bi se uopšte maltretirao sa mjenjanjima hash-eva i slično kada u tom slučaju može direktno pristupiti podacima u bazi i mjenjati ih...
Hash nije ni projektovan da štiti od takvih suludih slučajeva, ali je i dalje dobro osiguranje za mnoge druge sigurnostne slučajeve... Ako neko dobije dump baze i dalje ne zna plaintext lozinku i ne može da se uloguje i mjenja podatke ili da im pristupa u budućnosti...
Bruteforce uopšte ne ide brzo i lako kako neki ovdje misle - uz dovoljno dugačku i raznovrsnu šifru (npr "12 kArakt€r4") - bruteforce nije praktičan ni na najjačim kompjuterima (bruteforce kalkulator -
http://lastbit.com/pswcalc.asp)...
Inače - ako ti je cilj da postaviš neke podatke na server - ali da niko - pa čak ni administrator tog servera ne može da im pristupi - postoji i rešenje za to... lastpass npr koristi neko takvo rešenje... Svi tvoji podaci su enkriptovani lokalno (plugin ili javascript ako se koristi sajt)... Za logovanje - serveru prosledjuješ lokalno napravljen hash(username@password) (koji onda vjerovatno i server još jednom hashuje pre upisivanja /poredjenja sa onim u bazi), a za enkripciju - lokalno nešto tipa hash(password@username@password) (namjerno drugačije od onoga što prosledjuješ serveru)... Ima nekoliko članaka na netu gdje su ljudi snifovali pakete, pregledali javascript kod i zaista otkrili da je sve sigurno i enkriptovano...