Sup!

Das siehst Du völlig falsch, den crypt macht aus 8 Buchstaben Passwort und 2 Zeichen Salt 13 Zeichen Hash (davon sind 11 Zeichen Passwort-Hash und 2 der unverschlüsselte Salt).

Die crypt-Funktion ist injektiv, es kommt also bei keinen zwei verschiedenen Passwörtern bei gleichem Salt der gleiche Passwort-Hash raus.

Ebensowenig kann bei verschiedenem Salt und gleichem Passwort der gleiche Gesamt-Hash rauskommen, weil das Salt ja unterschiedlich ist.

Und das Salt sollte schon bei möglichst allen Usern unterschiedlich sein.

Es gibt übrigens mehr Möglichkeiten als Du denkst, denn in Passwörtern können viele Zeichen (Zahlen, Buchstaben, Sonderzeichen) vorkommen, ebenso im Salt.

Wenn Du paranoid bist, kannst Du das Standard-Crypt (benutzt DES-Verschlüsselung zum Erzeugend es Passwort-Hashes) auch durch aufgebohrte Verfahren (DES mit 6 Zeichen Salt, MD5-Hash, Blowfish-Hash) ersetzen.

Gruesse,

Bio