[HaBo]

heinzelJacKy

Anzeige

Hm ich hab da mal noch ne frage, was die salts von hashes angeht
so weit ich das prinzip richtig verstanden habe, wird ja jedes neue passwort mit einem zufällig generierten salt verschluesselt, damit sich bei gleichem passwort gleiche nebenpasswörter verhindern lassen.
dadurch stellt sich fuer mich die frage, wie bruteforcer dieses prinzip ueberwinden, bzw. (fast) keine geschwindigkeitseinbuße bei vielen hashes zu bemerken sind.
denn eigentlich muesste doch das programm den hash von bspw. "aaaa" zu jedem einzelnen ziel-hash extra verschluesseln, da ja jeder einen anderen salt hat.
oder hab ich da wohl wieder was völlig falsch verstanden?

mfg, jacKy

Elderan

Hallo,
die Salt steht immer am Anfang des Hashs.

Sprich, wenn die Salt 2 Zeichen lang ist, dann sind die ersten beiden Zeichen die Salt, alle folgenden sind dann der Hash-Wert.

Sonst müsste man beim regulären Login ja auch ein Brute-Force Algorithmus implementieren, der alle Möglichkeiten des Salts durchtestet, und schaut ob bei den entstehenden PW's das richtige dabei ist.

heinzelJacKy

jo schon klar, aber wenn jetz das bruteforce-programm drei hashes mit verschiedenen salts hat, muss er ja dreimal ein passwort aus z.b. "aaaa" generieren (mit drei verschiedenen salts) was doch die geschwindigkeit dritteln wuerde, oder nicht?

das ganze nochmal mit beispielen (vielleicht bin ich ja nur zu blöde, mich in verständliche worte zu fassen )
der bruteforcer bekommt drei hashes,
aHash, bHash und cHash (a, b, c sind die salts)
nun muss er ja alle möglichkeiten durchprobieren, also beginnt er mit z.b. "aaaa" und bildet den hash daraus. aber jetz muss er doch zuerst den hash mit dem salt a, dann den hash mit dem salt b und dann den hash mit dem salt c bilden, da er ja anders nicht ueberpruefen kann, ob aaaa auch wirklich uebereinstimmt. oder nicht? ?(