Moin

Das Salt ist Aphanummerisch wirklich zufällig (25 ZEICHEN) und wird bei der Speicherung erzeugt. GUT sha1 könnte ich noch umändern. Sollte ein zusätzlicher Stoplerstein sein

Was heißt „wirklich zufällig“, sprich welche Funktion erzeugt deinen Zufall und „wie viel“ Zufall benötigt deine Anwendung? Von den Anforderungen an die Sicherheit hängt auch ab, ob du einen anderen Hashing-Algorithmus als SHA1 verwenden möchtest.

• und einem Salt für Blowfisch erzeugt aus substr(22 Zeichen) der aus einem geschuffelten String, bestehend aus crypt (email, passwort und Rundenanzahl), herausgelöst ist

Verarbeitet Blowfish nicht mehr als 22 Zeichen Salt oder warum sind es genau so viele? Und warum ist hier kein Zufall im Salt enthalten? (crypt verwended email als Salt um passwort zu hashen, korrekt? Beide Angaben kämen dann von außen.)

Ja, es gab irgend ne Begrenzung auf 21,5 Zeichen. Ja, beide Angaben kommen von aUßen.

Was hältst du denn von einem Salt aus einer anderen Quelle als deine Benutzereingabe?

Der Entwickler Bruce Schneier rät vom Einsatz ab. Aber das kommt wohl auch auf den Einsatzzweck ab, sprich wie viel Sicherheit du tatsächlich brauchst.

In anderen einschlägigen Quellen wird aber bcrypt empfohlen. Was würdest du statt dessen empfehlen? (Speziell für PHP oder MySQL)

bcrypt != Blowfish. Mir scheint bcrypt in der Tat eine gute Wahl zu sein.

Viele Grüße,
Robert