Das ist wohl ein Problem, das kaum jemand auf dem Schirm hat: Wir haben beim Speichern von Paßwörtern mittlerweile ein ordentliches Level an Sicherheit erreicht: Shadow-systeme, AES statt DES, Hashes statt Klartext, Salz, 2FA…
Und dann kam DevOps und gab uns REST-APIs, auf die man mit Tokens zugreifen kann. Ein Token ist dabei eine lange, genügend zufällige Zeichenkette. Solange man Transportverschlüsselung verwendet, ist zumindest dieser Weg sicher, doch wer in der Praxis kann wirklich sagen, wo überall ein Token für wen lesbar gespeichert ist? Welche Rechte dieses Token hat? Ob es abläuft und wenn ja, wann?
Platt: Wenn in meiner DB mein GitHub-Paßwort gesalzen und gehasht abgespeichert ist: Gut. Aber wenn daneben ein Token für den Github-Zugriff liegt, dann ist ja nichts gewonnen.