hi,
Angenommen, das Passwort zu dem bekannten Hash x lautet "stamm". Dann wäre es blöd, wenn man als Präfix "baum" nimmt, weil "baumstamm" ebenfalls ein mögliches, in Rainbowtabellen auffindbares Passwort ist, so das man auch zu dem aus "baumstamm" entstehenden Hash y den möglichen Eingangswert sehr schnell findet.
Die Hashes von "stamm" und "baumstamm" dürften wenig "Ähnlichkeit" aufweisen - sonst wäre die Hash-Funktion Murks.
Angenommen, ich habe vor das Passwort "stamm" noch mein Präfix "baum" davorgesetzt, habe also den Hash von "baumstamm" gespeichert, und der sei x.
Meinst du jetzt, wenn du in deiner Tabelle nachschlägst, und zum Eintrag "baumstamm" den Hash x findest, dann sei es ein leichtes, durch auszuprobieren darauf zu kommen, dass "stamm" das "richtige" Passwort für diese Anwendung ist, in dem du z.B. es erst nur mit dem Wortteil "baum" und dann mit "stamm" versuchst?
Eine andere Art von Schwachstelle kann ich da nicht entdecken - oder kennst du eine weitere?
gruß,
wahsaga
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }