Hallo beatovich,

Wenn ich den Token versuche zu knacken, fällt mir das doch nicht leicht, wenn der Zufallszahlengenerator Zahlen mit hoher Entropie erzeugt und der Token lang genug ist, weil ich den ja zu erraten versuche!

Gegenstand des von mir angedeuteten Videos war eben, dass die verwendete Entropie tatsächlich für die Bitlänge, ergo scheinbare Bitstärke gar nicht angemessen war.

Da PHP aber meistens auf einem Linux-System laufen wird, dass einen ordentlichen Zufallsgenerator haben sollte, ist das doch kein allzu großes Problem für PHP-Session-IDs, oder? – Vorausgesetzt natürlich, dass da niemand die Konfiguration kaputt gemacht hat.

Nur als Beispiel: Wenn ich eine Zeitangabe als Teil der Entropie verwende, was glaubst du dann, wie relevant Jahr, Monat, Tag, Stunde oder gar Minute sind?

Du meinst, dass die Entropie zu gering ist. Gutes Beispiel übrigens.

Ist ähnlich wie mit dem Hashen von Telefonnummern, wie es Messenger (der Typ Messenger, der deine Kontakte hochläd und dann einen auf Datenschutz machen will) betreiben, um dann sagen zu können „Wir können ihre Nummer garantiert nicht wiederherstellen!“.

Gruß
Julius