Hallo alle miteinander ich möchte mal ein Szenario durchgehen um das besser zu verstehen.

Also wir nehmen an das unser Webserver gehackt wurde, jetzt hat der Hacker ja zugriff auf den Server kann alose die PHP Dateien und die DB Sehen.
Aber was bringt dann das PW Hash+Salt wenn er doch den Code sehen kann.

Wenn er sich die DB gezogen hat braucht er keine Hashes mehr. Er hat ja alles was er will. Außer dem PW. Denn die Funktion Hash + Salt ist nicht umkehrbar.
Ich würde trotzdem alle Kunden informieren das eingebrochen wurde und alles PW trotzdem zurücksetzen.

i.d.R. sollte es so sein, das er damit noch nicht das Passwort hat.

Er müsste solange die Passwörter durchtesten bis ein Hash passt.

Deine eigentliche Frage ist also "Was bringt das Salt beim Hashen eines Passworts" wenn ich das richtig verstanden habe?

Übrigens ist der Anfangstitel dieses Threads falsch geschrieben. Versuch mal ob du das nicht ändern kannst.

Das habe ich eben erledigt.

ich hatte das vor Jahren auch mal auf meinem Server...

Der Hacker hat im Bootloader ein Teil der Festplatte reserviert (Unsichtbar für Windows) und einen Keylogger.
Im unsichtbaren Teil wurden Dateien für Filesharing hinterlegt und mein Traffic ist explodiert!

Mavarik

Danke fürs ändern.

Und ja was bringt Salt und Hash wenn der Hacker doch weis wie der HASH aufgebaut wird.

Dann kann er doch ganz schnell ein Algo bauen und muss nur noch durch Testen.

Und das ganz ist nicht passiert ich will nur Vorsichtmastnahmen treffen wenn das passieren soll, und deshalb das ganz besser Verstehen.

Salt schützt vor allem davor, dass bereits vorberechnete Rainbow-Tables verwendet werden können, was das "knacken" der Passwörter zu einer Sache von Sekunden machen würde. So müsste der Angreifer erst eine spezielle Rainbow-Table mit dem Salt aufbauen, was teuer ist. Noch besser wird es dann offensichtlich, wenn du für jeden User einen eigenen Salt verwendest. Denn dann müsste der Angreifer für jeden einzelnen Hash eine eigene Rainbow-Table aufbauen, was schlicht nicht praktikabel ist. Und ohne die Rainbow-Tables bleibt eben nur ein stupider Brute-Force-Angriff... was ebensowenig praktikabel ist.

Das Stalz schützt vorallem die Kunden, denn Viele verwenden fast überall das selbe Passwort.

Derjenige, welche jetzt die versalzenen Hashs der Passwörter besitzt, kann sich nun nicht so leicht auch in andere Systeme schleichen.
Es gibt ja leider immernoch große Webseiten, welche die Passwörter im Klartext zu speichern scheinen (irgendeine Seite hatte mir mal vor einer Weile mein Passwort zugeswchickt, als ich auf "Passwort vergessen" klickte).

Mit diesem Passwort und den anderen persönlichen Daten kann man sich nun sehr leicht die Zugriffsdaten für andere Webseiten/Systeme zusammenstellen. das Zählt dann bestimmt schon zum Social Hacking.

Was ich mich frage wie schützt man den PHP Code, sodass ihn keiner mehr lesen kann.