phpbar.de logo

Mailinglisten-Archive

[php] [OT] gesalzene Hashes

[php] [OT] gesalzene Hashes

Hannes H. dubaut at gmail.com
Son Aug 3 11:22:57 CEST 2008


Hallo Sascha,

2008/8/2 Sascha Grossenbacher <saschagros at gmail.com>:
>
> Würde ich jetzt nicht umbedingt so sehen. Wenn es z.B. Password-Hashes sind,
> sind diese in einer DB gespeichert während der Salt logischerweise wohanders
> ist, z.B. im Source-Code (welcher bei der Installation generiert bzw. vom
> Benutzer gewählt werden kann, so dass er überall anders ist).
>
> Wenn jetzt aus irgend einem Grund ein Angreifer Zugriff auf die Datenbank
> erhält, z.B. wegen einer Sicherheitslücke, heisst dies nicht zwangsläufig,
> dass er auch Zugriff auf den Salt hat und selbst wenn, muss er die Hashes
> mit einer Brute-Force Methode herausfinden, da ihm irgendwelche
> Rainbow-Tables nichts bringen.

für gewöhnlich ist es doch meist so, dass die meisten Angreifer bei
Zugriff auf die Datenbank auch Zugriff auf den Rest des Filesystem
haben und somit auch auf das Salt im Sourcecode.

Aber es wird wohl so sein, dass salted hashes trozdem einen gewissen
Sicherheitsvorteil haben.

Liebe Grüße,
Hannes

php::bar PHP Wiki   -   Listenarchive