Moin Moin!

Hi Alexander,

»» Stand der Technik ist eine "salted one way hash function", sprich: Ein Zufallswert ("salt") und das korrekte Passwort werden mit einer starken Hash-Funktion zu einer Art Prüfsumme verarbeitet [...]

ergaenzend: Idealerweise Salt, Passwort und die ID o.ae. des Benutzers, damit die Gleichheit der Passwoerter verschiedener Benutzer nicht am Hash-Wert erkennbar ist.

Äh, schrieb ich nicht exakt in dem zitierten Teil, man solle eine "one way hash function" mit einem Salt benutzen? Wer lesen kann, ist klar im Vorteil!

Im Uebrigen halte ich den Begriff "Zufallswert" fuer einen Hash fuer arg irrefuehrend.

Wo soll ich denn so einen Unsinn geschrieben haben? Hört ein Satz für Dich an der ersten Klammer auf?

Ein Salt ist ein konstanter Wert fuer alle Passwoerter, und muss nicht zufaellig generiert o.ae. sein - es kann durchaus ein wohlgewaehltes Codewort sein.

Das ist falsch. Konstante Salt-Werte machen aus identischen Passwörtern identische Hash-Werte. Der Salt-Wert sollte für jedes neu gespeicherte Passwort anders sein und möglichst nicht ratbar sein. Da drängt sich ein Zufallswert geradezu auf.

Alexander