Hallo

Lese ich dazu Texte, steht als Hauptgrund, dass es bei gesalzenen Passwörtern keinen Sinn macht, Rainbow-Tables vorauszuberechnen.

Das stimmt soweit. Ein ungesalzener Wert ergibt mit einer Methode immer wieder einen voraussagbaren Hash. Mit Salz muss die Rekonstruktion eines Wertes jeweils von vorn beginnen. Zudem ergibt der selbe Ausgangswert mit verschiedenen Salzen unterschiedliche Hashes.

Aber wenn man annimmt, die Nutzertabelle gelangt in falsche Hände, so hat derjenige ja die Salts im Klartext vorliegen und kann ja dann die Rainbow-Tabellen berechnen.

Das stimmt, aber der Angreifer muss die Berechnung halt für jeden Ausgangswert einzeln durchführen. Mit hinreichend modernen Hashing-Methoden kann das schon einmal Monate oder Jahre an Prozessorzeit in Anspruch nehmen.

Warum ist das ein so großer Gewinn an Sicherheit, nur weil man die Tabellen nicht vorausberechnen kann?

Der Gewinn besteht in der Zeit, die zur Berechnung des Ausgangswerts des Hashes notwendig ist.

Tschö, Auge