Hallo,

der Salt sollte zufällig sein. Die von suit verlinkte JavaScript-Implementierung von Blowfish verwendet dazu isaac.js, welches mit Math.random() geseeded wird.

Klar, wenn ich den Salt initial auf dem Server erzeuge und vor dem Logins zum Client übertrage, habe ich das Problem nicht – aber damit wird der Salt, der normalerweise nur in der Datenbank steht, anstelle des Passworts ständig per HTTP herumgeschickt.

Mathias