Hi Woodfighter,

wenn du die ID schon als Salt nutzt, brauchst du doch keinen Salt mehr.

Passwort + ID ist im allgemeinen kurz. Der Salt verhindert, dass man mit handelsueblichen Rainbow-Tabellen auf die Hash-Werte losgehen kann.

Natürlich steht der Salt in der DB,

wenn jeder User einen eigenen Salt hat. Wenn es nur einen konstanten Salt gibt, dann gibt es keinen Grund, ihn in die DB zu schreiben. Genau der Unterschied zwischen diesen beiden Ansaetzen wurde doch hier diskutiert.

Viele Gruesse,
der Bademeister