[lug-ld] PW+Salt jetzt geklärt

Pahle Heinz heinz.pahle at gmx.de
Mi Aug 7 22:49:26 CEST 2019


Liebe LUGer!

Ich habe 2 Std. herumgelesen und glaube es jetzt zu wissen, wie das ist mit
PW hashen und Salt. Aufgrund der Antworten im LUG-Kreis denke ich, dass
manche eine andere Sicht der Dinge kriegen, mich aber gerne korrigieren
dürfen. Das Ping Pong der Meinungen stachelt an, bringt zumindest mich auf
Hochtouren, ist also keine Vera...sche.

Typischerweise wird in langen web Aufsätzen lange herumgefaselt und wenn ich
nach 2 Std. lesen einen einfachen erklärenden Satz bringe, dann klatscht mir
keiner :((
OK, brauche ich nicht.

Also, wenn ich die Passwortdatei klaue, dann habe ich das Hash-Verfahren
($..$) und Salt ($..$) parat. Salt verhindert nicht im geringsten das
Erlangen des PWs. Denn: Ich "kurbele" eine Variable durch, füge jedesmal
Salt dazu, hashe und vergleiche was herauskommt mit dem was in der Datei
steht. Nebenbei: Salt erzeugen ist genauso eine Wissenschaft wie Init-Vektor
erzeugen z.B. bei AES256 (ist bei mir schon jahrelang im Einsatz, bis auf
AES-lib mein Werk).

Statt den einzigen Grund für Salt, wie ich glaube, gleich zu offerieren,
wird in Artikeln Unzutreffendes genannt (brute force Erleichterung) und
nebenbei nur angedeutet, was ich als einzigen Grund sehe. Also jetzt: Habe
ich die PW-Datei und es gäbe keinen Salt, dann sähe ich gleich, wenn Müller,
Maier, Schulze das gleiche PW hätten (natürlich nicht das PW selbst)!!!
D.h.: Habe ich Müller geknackt, dann sind anderen 2 ebenfalls "offen".

Wie man sieht, immer wieder das Gleiche (Verschleiern gleicher Daten), wie
ich das mit WW2 beschrieb. "Keine besonderen Vorkommnisse" konnten sich die
Briten denken, denn Bojen bombadieren, Trick, brachte andere Meldung als
immer wieder die Gleiche, wenn nix los war.

Jetzt noch ein Glas Wein auf alle, die mitmachten
Heinz