Passwort-Sicherheit nicht optimal
Probleme:
- Der Salt ist bei einer QUIQQER-Installation für alle Benutzer identisch -> Zwei verschiedene Benutzer mit demselben Passwort haben in der Datenbank denselben Passwort-Hash gespeichert
- Der Salt sollte mindestens so lang sein, wie der Output der genutzten Hash-Funktion (2 ist zu kurz)
- Der Salt im Klartext muss nicht Teil des Passwort-Hashs sein, sondern kann auch in einer eigenen Spalte gespeichert werden
Lösung:
- Salt für jeden Benutzer zufällig generieren (sowohl bei Registrierung als auch bei jeder Passwort-Änderung)
- Länge kann fixed bleiben
s. Artikel auf: https://crackstation.net/hashing-security.htm ("The WRONG way..."-Absätze)