Je hebt een klacht over de onderstaande posting:
Aansluitend op de vorige reactie: het is erg belangrijk om per gebruiker een (andere) random salt te gebruiken, anders geldt de eigenschap die SirDice beschrijft niet. Hoewel je door de salt de hash niet kunt opzoeken in een online database, levert een niet-per-gebruiker-unieke salt alsnog dezelfde hash op wanneer gebruikers hetzelfde wachtwoord hebben. Een mooi voorbeeld hiervan is het lek van Pepper.nl - hoewel de hashes de lengte van een MD5-hash hebben, lijkt er toch niet (enkel) MD5 gebruikt te zijn. Wel valt het op dat enkele hashes relatief vaker dan eens voorkomen, dus men heeft in ieder geval geen per-user salt gebruikt. Door alle hashes op frequentie te sorteren vind je er een aantal die significant vaker voorkomen dan anderen - (frequenties resp. 164, 144, 142, 93). Leg hier een lijst naast van veelvoorkomende wachtwoorden ('12345', 'wachtwoord') en een aanvaller kan hoogstwaarschijnlijk alsnog ~500 accounts buitmaken. Betreffende je vraag of een wachtwoord van 14 of 20 karakters ook ...
Beschrijf je klacht (Optioneel):