Der Salt dient lediglich dazu das Nutzen von Rainbow-Tables zu erschweren. Das eigentliche Problem ist: MD5 ist zu schnell. Deshalb wendet man es mehrmals an, das ist dann langsamer. (: Das verlängert Brute-Force-Angriffe und macht sie ineffizient.mgutt hat geschrieben:Ich habe mir die Funktion mal angeschaut. Derzeit verstehe ich nicht den Sinn darin den Salt bzw. die MD5 Funktion x mal zu generieren und zurückrechnen zu können etc.Christophe hat geschrieben:Wenn dir die Sicherheit der Passwörter am Herzen liegt, d.h. der Aufwand, den man betreiben muss um an ein Passwort zu gelangen, nachdem der Server kompromittiert wurde, dann würde ich auf phpBB3 umsteigen. Die Passwortsicherheit hat sich dort um einiges erhöht.Turuex hat geschrieben:Ich selbst verwende 4 PHPBB2 Boards, welche alle über eine gemeinsamme Usertabelle verfügen.
(...)
zumal ich mir ein bisschen sorgen jetzt mache, um meine foren.
Faktisch geht es doch nur darum einen zufälligen String dem Passwort hinzuzufügen, damit der md5-String in der Datenbank alleine nicht nützlich ist.
Kann mir mal jemand die Mehrsicherheit dahinter erklären?
Zum Weiterlesen: http://www.securityfocus.com/blogs/262