Hallo,

Mir ist bei eurer Unterhaltung eine Idee gekommen.
Würde es ein Vorteil bringen, wenn man ein Bild mit einer Zahl (wie Captcha) an den Client übermittelt. Mit dem Eingabewert (wird nicht übertragen) aus dieser Zahl wird der Hash gesalzen und auf dem Server vergleichen.

Wenn es kein rein automatisierter Angriff ist, kann der Angreifer selbst ja auch einfach die Zahl auf dem Bild lesen oder er setzt halt eine Software ein, die dazu in der Lage ist. Aber dann könntest du auch einfach gleich bei jeder Passwortabfrage Captchas einsetzen, das würde kaum etwas ändern.

Viele Grüße Novi