Právě programuju šifrování pro OSS eshop osCommerce a řeším to neřešitelné dilema, jestli lze uživateli bezpečně nabídnout reset hesla. V této chvíli mám pocit, že pokud chci pro každého uživatele šifrovat jeho přihlašovací údaje jeho heslem, je to neřešitelné. To znamená, že asi dám uživateli volbu, zdali chce bezpečnější variantu, kdy v případě ztráty hesla bude svůj profil muset vyplnit znovu a přijde o historii objednávek a nebo méně bezpečnou varinatu, kdy bude existovat kopie uživatelských údajů a historie objednávky, zašifrovaná klíčem administrátora.
A vzhledem k tomu, že ta méně bezpečná varinata znamená, že pokud útočník ovládne interní systém, je šifrováí k ničemu, začínám se přiklánět k varinatě že je lepší, aby po resetu hesla přišli dotyční uživatelé o své údaje a historii objednávek.