Mailinglisten-Archive |
Hallo 2008/8/2 Hannes H. <dubaut at gmail.com> > Guten Abend, > > ich versuche gerade die Sinnhaftigkeit von salted Hashes für > (Web-)Applikationen herauszufinden und bin zu folgenden überlegungen > gekommen: > > Gesalzene Hashes sollen ja davor schützen, dass man bei Zugriff auf > die Hashes die Rückrechnung mit Rainbow-Tables erschwert. Wenn man nun > das Salt nun gemeinsam mit den Hashes speichert, dann ist dieser > Vorteil wohl verschwunden. Wenn ich das Salz auf irgend eine Weise aus > Meta-Daten generiere und die Software als Open Source veröffentliche, > dann kann natürlich auch jeder andere das Salz berechnen. > > Nun meine Überlegung bezüglich Webapplikation: Sobald jemand Zugriff > auf die Hashes hat (also über einen Einbruch auf den Server oder > physikalischer Zugriff) hat er auch das Salz. Solang niemand auf dem > Server einbricht ist auch das Salz kein zusätzlicher Schutz. > > Aber das kann es ja nicht sein - was habe ich übersehen? ;-) > > <http://lists.phpbar.de/mailman/listinfo/php> Würde ich jetzt nicht umbedingt so sehen. Wenn es z.B. Password-Hashes sind, sind diese in einer DB gespeichert während der Salt logischerweise wohanders ist, z.B. im Source-Code (welcher bei der Installation generiert bzw. vom Benutzer gewählt werden kann, so dass er überall anders ist). Wenn jetzt aus irgend einem Grund ein Angreifer Zugriff auf die Datenbank erhält, z.B. wegen einer Sicherheitslücke, heisst dies nicht zwangsläufig, dass er auch Zugriff auf den Salt hat und selbst wenn, muss er die Hashes mit einer Brute-Force Methode herausfinden, da ihm irgendwelche Rainbow-Tables nichts bringen. Sascha
php::bar PHP Wiki - Listenarchive