Kompromiert? Was ist das genau?

Ein Tippfehler. ;-) Es sollte »komprimiert« heißen.

ah, ok :)

Dann sind gesalzene Passwörter also gegen Rainbow-Table-Angriffe absolut sicher...?

Absolut sicher ist nichts. Gesalzene Hashes fügen dem Passwort nur einen zufälligen String hinzu, was das Nachschlagen in Rainbow-Tables erschwert. Es müsste für jeden zufälligen Salt eine entsprechende Table berechnet werden. Bei einem 16-Byte-Salt wie bei PHPs password_hash() sind das sehr viele Kombinationen. Ich bin mir sicher, dass das jemand Hashes für einen Haufen an Salts vorberechnet hat, aber in der Praxis würde man eher Brute Force verwenden, um einen gesalzenen Hash zu knacken. Der Salt ist ja meist mitgeliefert, wenn der Hash dem Angreifer in die Hände fällt.

Dumme Frage: dann nennt man also das Verwenden von Regebogentabellen nicht "Brute Force"?

"Ich bin mir sicher, dass das jemand Hashes für einen Haufen an Salts vorberechnet hat"
Noch eine dumme Frage: das müssen ja sehr viele Daten sein, oder? Wo speichert man denn diese Datenmengen?

Und kann man sich irgendwo Rainbow-Tables runterladen und mal nachsehen, ob dort ein md5-Hash eines x-beliebigen Wortes zu finden ist? Ich habe bisher nur so eigenartige Tutorials gefunden, wie man selbst Rainbow-Tables erstellt. So richtig kapier ichs noch nicht, vielleicht muss ich mich da mal grundsätzlich einlesen.

vielen Dank auf alle Fälle
Bocholder