Hi suit.

Durch Kenntnis des Hashes und Nutzung einer Brute-Force- oder Rainbow-Table erhältst du durch eine Kollision kein gültiges Passwort mit dem du dich einloggen kannst.

Wenn das Passwort einfach mit dem Salt konkateniert wird, dann erhaeltst Du eben einen String, von dem das Passwort ein Teilstring ist. Das ist nun wirklich nicht erheblich besser.

Du musst für jeden Hash eine eigene Tabelle berechnen sofern der Salt je Datensatz unterschiedlich ist

Bzw - wenn der Salt nicht bekannt ist, dann ist die notwendige Rainbowtabelle eben erheblich groesser, weil der verschluesselte Wert schlicht und einfach laenger ist.

ansonsten erhältst du dadurch keinen weiteren Vorteil.

Je nach Umgebung liefert der Salt noch einen ganz entscheidenden Vorteil: Er entschaerft das Problem, dass Passwoerter von vielen Leuten scheisse gewaehlt werden, z.B. als Vornamen oder Woerter aus dem Woerterbuch. Wenn die ohne Salt verschluesselt werden, braucht ne darauf ausgelegte Rainbow-Attacke heutzutage u.U. nicht laenger als ein paar Sekunden, um sie zu knacken.

Viele Gruesse,
der Bademeister