Door Anoniem: Dus de wachtwoorden waren wel gehashed opgeslagen, maar de blackhat die al in de systemen is doorgedrongen kan dan als MITM (man in the middle) de hash invullen als om het wachtwoord wordt gevraagd? Indien er om een wachtwoord wordt gevraagd kun je natuurlijk een hash invullen, maar in de meeste gevallen heeft dat geen zin. Het probleem is dat mensen niet bij elke handeling via het netwerk een wachtwoord willen invullen en er, van oudsher, veel van "stateless" (of "connectionless") systemen gebruik gemaakt werd en wordt (de "Cloud" heeft het er niet beter op gemaakt). Omdat ooit iemand zei dat het niet verstandig is om plain-text wachtwoorden op devices te bewaren, maar toch SSO (Single Sign-On) mogelijk te maken, zijn we onszelf voor de gek gaan houden met wachtwoord-alternatieven zoals session cookies, session tokens, session tickets en wachtwoordhashes. Als een aanvaller die te pakken krijgt kan hij/zij (zolang zo'n alternatief geldig is) alsnog namens de gebruiker (waar de aanvaller het ...