molily: Hash

Beitrag lesen

(d.h. die Daten wurden kompromiert) oder es sind Informationen verloren gegangen. Letzteres ist der Fall.

Kompromiert? Was ist das genau?

Ein Tippfehler. ;-) Es sollte »komprimiert« heißen.

Dann sind gesalzene Passwörter also gegen Rainbow-Table-Angriffe absolut sicher...?

Absolut sicher ist nichts. Gesalzene Hashes fügen dem Passwort nur einen zufälligen String hinzu, was das Nachschlagen in Rainbow-Tables erschwert. Es müsste für jeden zufälligen Salt eine entsprechende Table berechnet werden. Bei einem 16-Byte-Salt wie bei PHPs password_hash() sind das sehr viele Kombinationen. Ich bin mir sicher, dass das jemand Hashes für einen Haufen an Salts vorberechnet hat, aber in der Praxis würde man eher Brute Force verwenden, um einen gesalzenen Hash zu knacken. Der Salt ist ja meist mitgeliefert, wenn der Hash dem Angreifer in die Hände fällt.

Mathias