Hi!

Lieber salzen.
Es ist auch nicht viel aufwendiger, neben der Rainbow-Tabelle mit einfachen MD5-Hashes noch eine mit zweifachen anzulegen. Die Salz-Methode ist wesentlich unwirtschaftlicher zu berechnen.

Mit einem "schwachen Passwort" bringt dir die salt Methode auch nicht viel da die verwendeten Salts dem Angreifer bekannt sind. Und schon kann man wieder mit Brute Force und Wörterbuch Angriffen fortfahren.

Brute Force kann man immer probieren, ob gesalzen oder nicht. Aber diesen Aufwand will man sich ja mit dem Einsatz einer Rainbow-Tabelle sparen, beziehungsweise man will dem Angreifer den Aufwand des Brute Force für jeden Eintrag neu auferlegen, in der Hoffnung, dass seine Rechenleistung zu schwach ist. Ob der Aufwand nun einfach oder doppelt so groß ist, weil man einfach oder doppelt hasht, spielt dann keine große Geige.

Lo!