Passwort-Sicherheit nicht optimal

Probleme:

1. Der Salt ist bei einer QUIQQER-Installation für alle Benutzer identisch -> Zwei verschiedene Benutzer mit demselben Passwort haben in der Datenbank denselben Passwort-Hash gespeichert
2. Der Salt sollte mindestens so lang sein, wie der Output der genutzten Hash-Funktion (2 ist zu kurz)
3. Der Salt im Klartext muss nicht Teil des Passwort-Hashs sein, sondern kann auch in einer eigenen Spalte gespeichert werden

Lösung:

1. Salt für jeden Benutzer zufällig generieren (sowohl bei Registrierung als auch bei jeder Passwort-Änderung)
2. Länge kann fixed bleiben

s. Artikel auf: https://crackstation.net/hashing-security.htm ("The WRONG way..."-Absätze)