Citat:
Originally posted by BoXon@Mar 17 2008, 12:32
Om någon gör en brute-force så kommer det ju ändå inte spela någon roll om saltet
är 10000000 tecken eller inget alls.
|
Klart det gör - personen i fråga måste isf bruteforca på en salt som är kanske 100 tecken + användarens lösenord.
Vi säger då att salten är A-Z, a-z, 0-9, och specialtecken, samt 100 tecken långt samt att du då bakar in användaren lösenord i denna hash.
Om inte angriparen vet salten och hur din algoritm ser ut, så måste personen även bruteforca salten -- eller hur?