Zitat:
Original von Elderan
evt. ist das Passwort in der DB als Klartext gespeichert, und wenn du dich mit der DB verbindest, sagt der Server: Du benutzt folgendes Salz ( ).
Der Client generiert dann den Hash mit der Salt und der Server überprüft dies.
|
NEIN!!!
Passwort-hash und salt wird gespeichert.
Bei der Anmelung wird dann dieser salt und ein zufälliger salt geschickt.
Client hashet das Passwort mit dem Salt und der Hash wird dann mit dem zufälligensalt nochmal gehasht und dann an den Server geschickt. Der Rest düfte klar sein
Wurde aber im zuvor geposteten Thread schon angeschnitten....