hi,

Und dann blos nicht mit MD5 sondern gleich ordentlich, mit bcrypt:
http://code.google.com/p/javascript-bcrypt/

Ahh, gesalzen ;)
Nun, das Salz müsste ja dann auch zum Server geschafft werden, oder kann das aus dem Hash extrahiert werden?

Eine andere Lösung, wo ich einsetze, ist: Apache-MD5 (das ist auch gesalzen). Mit htpasswd erzeugte Passwort-Hashes haben ein extrahierbares salt und es gibt ein in Perl programmiertes Inferface (CPAN). Das wird in dem Moment interessant, wenn es sowohl eine Passwort-Datei geben muss (damit der Super-Admin überhaupt erstmal reinkommt in sein Backend) als auch in DB hinterlegte Passworte für weitere Benutzer in Gruppen.

Mit Apache-MD5 und dem Perl-Interface ists möglich, sowohl einen Authorization-Basic-Realm zu schaffen als auch einen davon unabhängigen Login-Prozess auf eine bestehende Session zu setzen. Oder Beides. Oder für einen kleineren Benutzerkreis nur eine mit htpasswd erzeugte Passwortdatei für echte Login-Geschichte zu verwenden.

Viele Grüße,
[Name leider bereits anderweitig vergeben]