Hallo suit,

PS: Ja, mein Beispiel für einen Salt war nicht sehr gut gewählt. Deine Wahl war aber dann in die andere Richtung übertrieben.

Ein 128-Byte ist ggf. etwas übertrieben, aber 64 solltens imho schon sein :)

Nein, das ist völlig unnötig. Alleine mit Groß- und Kleinschreibnug sowie Zahlen und 2 Sonderzeichen kommst Du schon auf ein Alphabet mit 64 Zeichen (Du hattest sogar etwas mehr, irgendwo in der Gegend von 70 oder 75 Zeichen). Das heißt, dass Du bei 64 Zeichen mindestens 64^64 verschiedene Möglichkeiten hast - und das ist weit mehr, als Du mögliche Hashes (2^256) bei SHA-256 hast [1]. Das bringt Dir gar nichts. Bei einem Alphabet von 64 Zeichen wären also, um den kompletten Keyspace eines SHA-256-Hashes abzudecken, schon 42 bis 43 Zeichen ausreichend - bei einem Alphabet von 75 Zeichen nur noch 41.

Viele Grüße,
Christian

[1] Unter der Annahme, dass SHA-256 surjektiv ist, was m.W. vermutet wird, aber nicht bewiesen wird.