Hallo Frank,

Genau da hakte es, denn wenn ich einfach md5(Zufallszahl + Secret) sende, sehe ich ganz deutlich, wie ein Teil des md5 Hashes immer gleich bleibt, solange ich das secret nicht ändere. Das erleichtert eine brute force Attacke doch ungemein: Man beschaffe sich mehrere Kombinationen von Zufallszahl/md5Hash, stelle anhand des gleichbleibenden Anteils des Hashs fest, wie rum die Addition sein muss und probiere dann alle möglichen secrets zu Hause durch.

Dies sollte bei MD5 eigentlich nicht so sein, zumindestens habe ich keine solche Erfahrungen gemacht.
Du must dein String nur wie folgt zusammensetzen:
$string = md5(Zufallszahl + Secret) und nicht
$string = md5(Zufallszahl) + md5(Secret).

Gruß
Helmut Weber