Citat:
Originally posted by BoXon@Mar 17 2008, 12:32
Om någon gör en brute-force så kommer det ju ändå inte spela någon roll om saltet
är 10000000 tecken eller inget alls.
|
Tvärtom. Lösenordshashen består ju av lösenord + salt. Ju mera salt, dessto längre tid tar det att göra en brute-force.
Edit: Eller det beror ju på hur man menar att denna brute-force går till. Om den sker via inloggningsformuläret på hemsidan så hjälper ju såklart inte saltet. Men om någon kommit över en databasdump eller liknande och alltså har tillgång till lösenordshashen, det är då man har nytta av saltet.