Das Hauptprob bei MD5 für pw-hashing ist die schnelle Berechnung, der Rest (salted und damit die Länge) ist das angeblich eher nebensächlich. Der Aufwand steigt aber dennoch exponentiell mit der Länge und je nachdem wie das salt implementiert ist, wird der String gleich nochmal deutlich länger. Wenn ich da einen Hash über einen gesalteten String der z.B. 255 Zeichen lang ist bilde, hat auch ein Grafikkartenmonster, Rainbowtabelbesitzer sehr lange daran zu knabbern. Praktisch sind aber die pws oft in der Länge sehr beschränkt (bsp. max. 12 Zeichen), was ich schon immer sehr seltsam fand, da hat dann ein Angreifer leichtes Spiel.
Habe jetzt selber mal gesucht:
link
Das Hauptprob bei MD5 für pw-hashing ist die schnelle Berechnung, der Rest (salted und damit die Länge) ist das angeblich eher nebensächlich.
Der Aufwand steigt aber dennoch exponentiell mit der Länge und je nachdem wie das salt implementiert ist, wird der String gleich nochmal deutlich länger. Wenn ich da einen Hash über einen gesalteten String der z.B. 255 Zeichen lang ist bilde, hat auch ein Grafikkartenmonster, Rainbowtabelbesitzer sehr lange daran zu knabbern.
Praktisch sind aber die pws oft in der Länge sehr beschränkt (bsp. max. 12 Zeichen), was ich schon immer sehr seltsam fand, da hat dann ein Angreifer leichtes Spiel.
Der Link wurde verschluckt:
link