Moin

* Warum sha1?
* Wie _zufällig_ ist der Salt (also woher kommen die 25 Zeichen (oder Bytes?)?)

Das Salt ist Aphanummerisch wirklich zufällig (25 ZEICHEN) und wird bei der Speicherung erzeugt. GUT sha1 könnte ich noch umändern. Sollte ein zusätzlicher Stoplerstein sein

• und einem Salt für Blowfisch erzeugt aus substr(22 Zeichen) der aus einem geschuffelten String, bestehend aus crypt (email, passwort und Rundenanzahl), herausgelöst ist

Verarbeitet Blowfish nicht mehr als 22 Zeichen Salt oder warum sind es genau so viele? Und warum ist hier kein Zufall im Salt enthalten? (crypt verwended email als Salt um passwort zu hashen, korrekt? Beide Angaben kämen dann von außen.)

Ja, es gab irgend ne Begrenzung auf 21,5 Zeichen. Ja, beide Angaben kommen von aUßen.

Ich hoffe das sind genug Infos zur Einschätzung. Wie sicher ist Blowfish allgemein?

Der Entwickler Bruce Schneier rät vom Einsatz ab. Aber das kommt wohl auch auf den Einsatzzweck ab, sprich wie viel Sicherheit du tatsächlich brauchst.

In anderen einschlägigen Quellen wird aber bcrypt empfohlen. Was würdest du statt dessen empfehlen? (Speziell für PHP oder MySQL)

Gruß Bobby