Salted hash

niemand_68d014 · 11. November 2019 um 21:36

liebe wissende
wenn man eine hashfunktion hat, die einen salt verwendet (zb „crypt()“ in php), wie kann man dann anhand der hashes prüfen, ob zb zwei passwörter übereinstimmen?
lg niemand

madmaxx · 11. November 2019 um 21:37

Moin,
der Salt wird mitgespeichert.

niemand_68d014 · 11. November 2019 um 21:37

ah, das heisst es ist nicht möglich, zwei salted hashes zu vergleichen, ohne dass man den salt kennt?
lg niemand

madmaxx · 11. November 2019 um 21:37

Nur, wenn man weiß, dass der Salt gleich ist.
Ist ja klar:

Hash(Klartext1+Salt1) = Hash1,1
Hash(Klartext2+Salt1) = Hash2,1
Hash(Klartext1+Salt2) = Hash1,2

Hash1,1 != Hash2,1 != Hash1,2

sigterm · 11. November 2019 um 21:55

Hallo

Wenn die Salts der beiden Hashes gleich sind, dann stimmen die Klatrexte genau dann überein, wenn die Hashes übereinstimmen (von möglichen Kollisionen mal abgesehen).
Wenn die Salts verschieden sind, dass kann man die Hashes nicht sinnvoll vergleichen, egal ob man die Salts nun kennt oder nicht.

Es ist ja gerade der Sinn des Salts Rückschlüsse vom Hash auf den Klartext zu erschweren.

Gruß sigterm