Bademeister: Vorteile ein Passwort mit "Salt" zu speichern

Beitrag lesen

Sicher ist das besser - durch die breitere Entropie kann man mit einer Kolision nichts mehr anfangen.

Ah ok, jetzt hab auch ich begriffen, was Du meinst. Grundsaetzlich Zustimmung - allerdings sollten(!) Kollisionen grundsaetzlich kein zu hoch zu bewertendes Sicherheitsproblem sein - wenn sie es doch sind, ist die benutzte Hash-Funktion schlecht gewaehlt.

Bzw - wenn der Salt nicht bekannt ist, dann ist die notwendige Rainbowtabelle eben erheblich groesser, weil der verschluesselte Wert schlicht und einfach laenger ist.

Nicht notwendigerweise - bei einer Rainbow-Table reicht es, die Ketten länger zu machen. Die Tabelle wird dadurch kein gramm größer, sofern sich die Stringlänge in der Kette nicht ändert.

Grmpf :-)

Wenn Du etwa einen 8-Byte-Salt anhaengst und die Rainbow-Tabelle "gleich gross" (im Sinne von Speicherbedarf) sein soll, dann muss jede Kette um den Faktor 2^16 verlaengert werden, um die gleiche Trefferwahrscheinlichkeit beim Abgleich mit einem einzelnen Passwort zu haben. Das macht schon einen kleinen Unterschied.

Unter der Groesse einer Rainbow-Tabelle verstand (und verstehe) ich die Anzahl der anhand ihr auffindbaren Passwoerter. Alles andere ist doch unsinnig als Mass. Wie gross der Speicherbedarf beim Angreifer fuer seine Rainbow-Tabellen ist, ist doch wirklich sein Problem :-)

Siehe oben - das ist ansich kein Vorteil sondern ein entscheidender Nachteil von Salts bei dämlichen Passwörtern :)

Du bist irgendwie sehr viel weniger gelassen als ich in Bezug auf Kollisionen. Da musste ma lockerer werden ;-)

Viele Gruesse,
der Bademeister