Hi Stefan,

Meine Frage aber: wozu das Ganze? Was ist der tiefere Sinn des Salzes? Weiss das jemand?

es wurde ja im Prinzip schon beantwortet :-) aber noch ein kleines Wort von mir:

Das Salt ist zwei Zeichen lang; diese Zeichen findet man am Anfang des verschlüsselten Passwortes wieder. Genau deshalb sollte man _nicht_ das Passwort selbst als Salt verwenden, wie es oft der Einfachheit halber gemacht wird, sondern statt dessen zwei zufällige Zeichen (AFAIK Groß-/Kleinbuchstaben und/oder Ziffern) wählen.

So kann man mit crypt($passwort, substr($testpasswort, 0, 2)) (oder einfacher, aber "weniger korrekt" crypt($passwort, $testpasswort)) jedes $testpasswort darauf testen, ob es aus $passwort heraus generiert wurde.

Cheatah