Après, en pratique, c’est vrai que je ne me suis encore jamais fait voler une base de données. Et quand bien même, les infos du membre seul m’intéresseraient. Pas besoin de connaître son mot de passe si on a un accès en root sur la base. ;)

Mais bon. Restons dans une paranoïa maximale, et sécurisons tout à 150 % ! ^^

Dans un premier temps, un hash d’un mot de passe n’est jamais sensé quitter la base de données où il est stocké. Mais on ne sait jamais ;o

La solution aux tables rainbow (hormis le sel) c’est que maintenant on enregistre le hash du hash (ou X fois le hash du hash). La ça devient difficile de trouver une table rainbow adéquate. ;o