Yerf!

Meine Meinung ist eher: die Prüfsummenbildung mit md5() (nehme ich einfach mal an) erzeugt nun eine andere Prüfsumme, weil ja keine singelbytebasierten Strings mehr geliefert werden, sondern multibytebasierte. Wenn in den Passwörtern also Zeichen enthalten sind, deren Codepoints zwei oder mehr Bytes benötigen, dann kann nicht mehr dieselbe Prüfsumme herauskommen, wie vorher.

Das ist natürlich auch ein Punkt der zu beachten ist, aber das Problem äußert sich doch noch etwas anders.

Da die Prüfsumme mit md5() selber nur Hexadezimal-Characters erzeugt, die mit ihren Codepoints in den ersten 128 Bytes des Coderaums liegen, kann hier eigentlich keine Veränderung stattfinden

Das gepostete Beispiel für einen Passwort-Hash sah aber nicht nach Hex-Code aus, sondern nacht einen durch UTF8-Wandlung verunstalteten ISO-String. Von daher befürchte ich eher, dass binäre Hashcodes als String in der DB standen.

md5() ist keine Verschlüsselung

a) sowieso nicht, sondern eine hash-Funktion

b) es ist auch nicht neu, dass es unsicher ist

Gruß,

Harlequin