VMSR Betatest Bugreport

[VMS1]

Du verstehst nicht, was ich dir sagen will. "Deine Variante" IST Passwort mit Salt!
Und das bringt insofern schonmal etwas, das ein Hacker den Wert von Salt kennen müßte. Das erschwert es auf jeden Fall auch schonmal bei einem frei zugänglichen Script.

Wenn nun aber ein Hacker sein eigenes Passwort kennt und es schafft an den md5-hash aus der DB zu gelangen, könnte er theoretisch den Wert von salt ermitteln und wäre dadurch wieder ganz normal in der Lage Rainbow-Tables zu nutzen. Deswegen halt dynamisch. Mit dynamisch meine ich das jedes Konto einen eigenen Salt erhält, den man im Skript auch rekonstruieren kann. Z.B.:

PHP-Code:

md5($passwort.sha1(round(mysql_insert_id()+5555))) 


oder so ähnlich. Das Problem bei einem frei zugänglichen Script ist aber eben, das egal nach welcher Formel man salt nun konstruiert, man einfach nur in das Script schauen muß, um an diese zu gelangen. Es müßte also jeder Scriptnutzer seine eigene Formel entwickeln und einfügen.

Jetz verstehen?^^

[Lokutos]

PHP-Code:

<?php 
    $secret_salt = "topsecretsalt";  // Autogeneriert vom installer script 32Zeichen Random
    $password = "testpasswort";  //Passwort des Users
    $salted_password = md5(md5($secret_salt) . md5($password));   //MD5 vom salt + MD5 vom Passwort -> MD5
    $password_hash = hash('sha256', $salted_password); //und diesen string durch sha 256 
?>

Wenn wir nun davon ausgehen das ein hacker das passwort in der db nun kennt,
so muss er den sha256 knacken was nicht mal unsere amis mit 3 buchstaben schaffen...
gehn wir davon aus, so hat er 32 zeichen die er duch eine tabelle jagen darf um einen string zu bekommen den er nochmal durchjagen muss (ohne zu wissen das er stimmt)
und dan einen teil salt und einen teil pw zu haben...

Have fun...