Citat:
Originally posted by fabian@Apr 25 2008, 16:52
alla användare har nu en salt som är unik för användaren, lösenordet är md5(pass+salt), är detta vettigt?
|
Nej, för om dom kommer över databasen, så kommer dom även över salten.
Bygg dina lösenord på både användarnamn, lösenord och salt.
På så sett kan en md5-hash aldrig bli lika dan, eftersom användarnamnet är unikt.
Salten är dessutom statisk för samtliga användare, och är inget som sparas i databasen utan hårdkodad.