Hi!

Beim Login wird das Passwort [Hash] verschlüsselt und überprüft, der salt ist locker 200 Zeichen gross und besteht aus allen Möglichen zeichen.
Das ist übertrieben, 200 Zeichen - "alle möglichen" umfasst mehrere Millionen zeichen

Bist du sicher, dass Zeichen eine Rolle spielen? Arbeiten Hash-Algorithmen nicht vielmehr auf Byte-Ebene? Binärdaten lassen sich damit schließlich auch behandeln. Es kommt also nicht auf die Zeichenvielfalt an, denn letzlich hast du nur die 256 Möglichkeiten eines Bytes.

(Darf ich da übrigens die zeichen haben: ç,ö,ä,à,è ? Also die ganz exotischen, hab ich jetzt eigentlich ausgelassen.)
Du sagtest "alle möglichen Zeichen". Das impliziert auch á, ㍐, oder ➡.

Das unterscheidet sich nur je nach Kodierung um 1 bis 4 Byte. Man diese Betrachtung auf die verwendete Anzahl der Bytes reduzieren.

Daraus wird mit noch einer Verschlüsselungsrunde ein Key generiert, wieder mit genug Salz. ^^
Der Key landet in der Session.
Was soll das bringen?

Eben. Es geht darum, einen Wert zu entschlüsseln. Dazu braucht man einen definierten Schlüssel. Um den nicht im Klartext rumliegen zu haben, kommt Anwenders Masterpasswort ins Spiel, das mehr oder weniger schwach ist. Ob man nun dieses nimmt oder einen Algorithmus dazwischenlegt, ist letzlich egal. Wer das Masterpasswort abgreifen kann, hat immer gewonnen. Ebenso, wenn er den berechneten Schlüssel aus der Session nimmt, und wenn er sich soweit vorgehackt hat, das zu können, kann er garantiert auch auf die Datenbank zugreifen.

Lo!