Zitat von
Matze:
Zitat von
franktron:
Also wenn ich dies Diskussion richtig verstanden hab dann wollt ihr eine Brutforce Attacke Unterbinden.
Es geht mir nicht darum, die Bruteforce-Attacke auf der Website selbst zu verhindern, sondern darum, dass jemand, der an die Datenbankdaten gekommen ist, anhand der Hashs nicht ohne weiteres auf Passwörter schließen kann.
Bei einem MD5-Hash muss der Angreifer per Bruteforce lediglich alle möglichen MD5-Hashs erzeugen bis dieser mit dem gegebenen Passwort-Hash übereinstimmt. Dann wurde ein gültiges Passwort ermittelt.
Wenn man den Hash allerdings mit einem Salt und ähnlichem erzeugt, dann weiß der Angreifer nicht, wie der Passwort-Hash erzeugt wurde und kann so nicht ohne weiteres per Bruteforce auf ein gültiges Passwort kommen.
Das war zumindets mein Gedanke.
Da ist doch was falsch wenn der Angreifer den MD5 für den Login nutzen kann oder ?
Er muss doch Username und PW eingeben.