2024-05-15T11:19:59 rosti

Quote

Ein gehashtes Passwort im Cookie bringt dir doch nichts, du musst dich immer mit dem echten Passwort identifizieren, nicht mit dem Hash.

Kleiner Tipp: Auf dem Server ist das Passwort auch nicht im Klartext gespeichert sondern als Hash. Derselbe Hash wie im Cookie ;)

Und das kann mal sehr gut vergleichen.

Äh ja, aber warum hasht man denn Passwörter? Doch genau, damit du eben nichts mit dem Hash anfangen kannst, solltest du ihn doch mal zu fassen kriegen. Damit würdest du doch das gesamte Sicherheitskonzept des Hashings aushebeln. Man vergleich IMMER hashfunktion(passwort) ?= hash_value (+dass man natürlich noch salzt, damit man keine Hashtabellen nutzen kann, d.h. hashfunktion(passwort, get_salt(hash_value)) ?= hash_value - bzw. normalerweise sind da ja fertige Funktionen für da, weil ja nicht nur das Salt, sondern ggf. auch die Hash-Runden etc. benötigt werden)
Last edited: 2024-05-15 13:28:49 +0200 (CEST)