Eine Hash-Funktion ist eine nicht-umkehrbahre Funktion. Es gibt aber Rainbow-Tabellen, welche Hashs von vielen Passwörtern errechnet haben und abgespeichert haben. Nun kann man den Hash in der Datenbank suchen und die Datenbank spuckt die Passwörter aus, die diesen Hash ergeben. Deswegen sollte man immer das Passwort vor dem Hashen salzen, siehe unten im Beitrag.

Bitte was? Security through obscurity = no go!

Du hängst an das Passwort hinten noch ein paar zufällige Bits dran, dann jagst du's durch die Hash-Funktion. Dieses sog. Salt speicherst du dann vor dem verschlüsselten Text. So kannst du Angriffe durch eben diese obengenannten Rainbow-Tabellen entgehen.