Zitat Zitat von getöteter_ork
...@Chocwise
Wozu muss der MD5-String dann noch mit crypt verschlüsselt werden???
Ich dachte immer, MD5 wäre schon extrem sicher, weil nur irgendwie alle 2^32 Eingaben die selbe Ausgabe erzeugen (oder so). Ist das nicht schon sicher genug?
Andersrum. Die crypt-verschlüsselten Passes werden MD5+Salt verschlüsselt.
Damit ist es AFAIK kaum möglich einen lokalen Bruteforceangriff zum Erfolg zu führen.
Also auch wenn jemand sich den Cookie eines User's krallt, hätte er keine Chance per Bruteforce an das Passwort zu kommen, weil er den Salt nicht hat der für den Encodierungsalgorythmus verwendet wurde.