Hallo,
ich frag mich, warum so oft nur mit MD5 gehasht wird. Die Rainbow Tables sind weit verbreitet, es stellt kein Problem mehr dar, die Mehrzahl der Passwörter innerhalb kurzer Zeit zu knacken.
Man könnte doch stattdessen z.B.
- salzen
- SHA
- nochmal nachsalzen
- MD5
- nochmal nachsalzen
- Whirlpool
Wenn man für jeden Nutzer ausreichend lange, individuelle Salts nimmt, kann man Rainbow Tables doch eigentlich so gut wie vergessen, und sollte eine Hashfunktion Lücken aufweisen, hätte man noch 2 weitere, die weiterhin sicher sind.
Spricht irgendwas dagegen, das so zu machen, außer, dass man zum Passwortabgleich etwas mehr Rechenleistung benötigt und ein paar MB mehr Platz für die Datenbank? Oder hab ich irgendwo einen Denkfehler drin?