¿Para qué sirve encriptar las contraseñas (con md5, por ejemplo) de usuarios de web?

Pongámonos en el caso de una página web, o una aplicación basada en web, da igual, en la que haya usuarios. Y se nos plantea la posibilidad de diseñar el sistema de forma tal que las contraseñas que se guarden en la base de datos, estén encriptadas, con md5 o el que sea. ¿Su utilidad es únicamente que el admin no pueda ver las contraseñas de los usuarios de su sistema, o realmente da más seguridad?

Sólo se me ocurre que diera más seguridad, para en el caso de que el atacante hubiera podido acceder a la base de datos, pero en modo de sólo lectura (y no escritura, si no, podría cambiar las contraseñas manualmente), no obtuviera contraseñas para poder luego entrar como usuario registrado.

Pero vamos, un atacante que haya logrado acceder a la base de datos... casi seguro que podrá también reescribir sus datos, o tal vez también pueda entrar a las páginas ASP y modificarlas.

En fin, que eso, la "seguridad" que da me parece muy restringida a casos muy especiales, que no sé si se darán. ¿Qué opináis? ¿Para qué sirve encriptar las contraseñas de los usuarios de una página Web?

Todo lo que dijiste anteriormente es correcto, la encripcion se usa como una medida mas de seguridad, aparte de que tu administrador o cualquiera con acceso al server no podran ver las contrasenas, tampoco podrian editarlas si no saben que algoritmo utilizaste para la encripcion de datos, ademas que en todo caso, el proceso de MD5 no es revertible, ya que es un hash de una sola via.

En todo caso, es verdad, un atacante con los suficientes conocimientos para irrumpir en el server y abrir directamente la base de datos o el codigo, pues puede hacer muchas mas cosas, pero hay una situacion que tambien puedes pensar, y es que no necesariamente el atacante esta viendo el server, quizas por descuido del programador, yo fui capaz de hacer SQL injection y mediante un cursor puedo traer lo que trae cierta tabla, bueno, los passwords aparecen encriptados, no se que tecnologia usaron para este proposito, simplemente no me sirven, que tal que aparte de tener estos passwords, almacenas tambien otros datos, como cual es su banco en linea.

Los usuarios tendemos a estandarizar una contrasena para todas nuestras cosas en internet, pues resulta molesto tener 20 contrasenas distintas para 20 cosas, si hay otra info que le sirva, pues la va a utilizar, asi que es darle una dimension mas de seguridad a nuestra aplicacion.

Normalmente la forma mas segura de publicar algo en internet, pues es no publicarlo, ahora si insistimos ,creo que lo menos que podemos hacer es tener la mayor seguridad posible.

Salu2,

Jeje, pues sí. Me ha parecido bueno el argumento que has dado de que es añadir una dimensión más de seguridad al usuario, ya que quizá esa contraseña la utilice para otras cosas.

Y una duda: ¿cómo puede el administrador asignar nuevas contraseñas a gente antigua? Para en el caso de que alguien haya olvidado su contraseña y quiera una nueva... Para dejar que meta una nueva parece que la única forma es la enviarle un mail en el que venga una nueva contraseña autogenerada.

Asi es, no puede, por lo tanto sera cuestion como bien lo has dicho de generar una nueva y enviarla por mail.

Salu2,

En mi opinion creo que para un atacante cambiar las contraseñas manualmente no serviria de nada, porque ese no es el valor que hay que ingresar para el login, sino el resultado del hash md5, que como dice U_Goldman
"el proceso de MD5 no es revertible, ya que es un hash de una sola via." (Esto no lo sabia ).

Esto creo que no tiene porque ser asi, porque un atacante no tiene porque tener permiso de escritura en el server para acceder a la base de datos, pero si para reescribir sus datos.

El atacante puede sin ningún problema usar una función MD5 aparte para meter la contraseña que quiera (la contraseña que quiera meter, la pasa a través de MD5, y después va a la base de datos e introduce ese valor).

Pero si tiene el poder para saber que utilizaste MD5 y ademas para introducir valores a tu base de datos, en realidad no necesita tomarse la molestia de hacerlo, puede hacer cualquier cosa.

Salu2,

no se si estoy en lo correcto pero en asp.net la funcion md5 es en ambas vias
Encripta y DesEncripta

El MD5 es un hash unidireccional.

Saludos