Aber was bringt dann das PW Hash+Salt wenn er doch den Code sehen kann.
Es geht darum, die Passworte des Benutzers zu schützen. Die meisten Leute benutzen das gleiche Passwort für alle/viele Dienste.
Wenn in deiner Datenbank auch eine eMail-Adresse steht, kommt der Hacker bei einem großen Teil der Leute auch an ihr eMail-Konto ... was meist der Schlüssel zu sämtlichen anderen Online-Aktivitäten ist.
In einem industriellen Umfeld ließe sich mit einem erbeutetem eMail-Konto sicher auch einiges an Schaden anrichten.
Er müsste solange die Passwörter durchtesten bis ein Hash passt.
Was bei den meisten Hashfunktionen nicht das größte Problem ist.
Hier wurde das wichtigste schonmal gesagt. Insbesondere, wenn die zu erbeutenden Identitäten etwas wert sind, sollte man beim Speichern der Passworte vorsichtig sein.
Ein Fehler wäre es, ein Passwort
- im Klartext
- ungesalzen gehasht
- mit einem für die Datenbank festen Salt gehasht
- mit einer ressourcensparenden Funktion gehasht
zu speichern.
Deswegen: bcrypt, scrypt oder PBKDF2 mit einer der Sicherheit angemessenen Anzahl an Runden verwenden.
bcrypt gibt es zB.
hier für PHP von der Community, die auch hinter
John the Ripper steckt.