Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert?
bearbeitet von IndianerversteherNicht alles, was andere veröffentlichen, ist automatisch richtig.
Bei einem Brut-Force Angriff von außen ist es egal weil der Hash und damit der Salt den Angreifer gar nicht interessiert. (Außerdem sollte mod_evasive und/oder fail2ban schützen.)
Falls der Angreifer die Passwortdatenbank mit den Hashes aber hat, dann hat er zwingend auch die Salts. Dann nützt die kryptographische Sorgfalt bei Erstellen der Salts nichts. Wozu sollte ein Angreifer etwas vorhersagen, was er doch schon weiß?
Die Diskussion ist akademisch: Die Ersatzfunktionen sind ja nun wegen des Ablaufs der Unterstützung für PHP < 7.1 (und also ohne `passwort_hash()`) draußen.