Das ist übertrieben, 200 Zeichen - "alle möglichen" umfasst mehrere Millionen zeichen

Lol ok danke xD

Ebenso ist das mehrmalige Hashen nur bedingt sinnvoll da es die Entropie des ursprünglichen Strings nicht erhöht aber bei manchen Hash-Algorithmen die Kollisionswahrscheinlichkeit steigert (wie das bei SHA ist, weiss ich nicht - zu diesem zweck wechselt man bei einer auftretenden Kollision dann die Hashfunktion um keine "doppelten Einträge" zu haben.

Auch danke, spar ich mir Rechenleistung ^^

Der Key landet in der Session.

Was soll das bringen?

Den key brauch ich ja zum entschlüsseln für die Passwörter der Drittanbieter!

Eigentlich wär es doch egal, wenn ich dan die PW's direkt in die Session übernehme oder? Wer den Key hat, hat sowieso vollen zugriff.

Wie stellst du sicher, dass niemand die Session klaut?

Omg, bitte sag mir wie ich das mache!
Kann man sowas sichern?
Die Session einer IP zuweisen bringt ja auch nur bedingt was...

Zwei Dinge: einerseits. Was nutzt das mehrmalige salten und hashen, wenn du das Klartextpasswort brauchst? Jegliche Form das hashens ist hier Unsinn, du musst das Masterpasswort im Klartext zur Verfügung haben, wenn du es als Schlüssel verwendest.

Das Salten und Hashes bezieht sich ja nur auf auf das Masterpasswort, die Passwörter der Drittanbieter sind mit dem XTEA verschlüsselt, das als key einen aus dem "Master Passwort" generierten Hash verwendet.

Alternativ kannst du natürlich als Schlüssel den Hash des Masterpassworts verwenden.

Genau, eben das mach ich ja...

L.g.