Hi dedlfix.

Es geht nun darum, ob er beim Verwenden von anderen Hilfsmitteln (wie Rainbowtables) "nützlich" ist (weil wegen seines häufigen Vorkommens bereits welche vorberechnet sind) oder nicht (man Brute Force benötigt).

Ein Username als Salt selber ist schlecht. Aber wenn man den Usernamen mit einbaut beim Hashen, dann erlaubt dies, darüberhinaus einen festen Salt zu verwenden und nicht einen individuellen für jeden User. (Der "individuelle" Salt für jeden User ist dann quasi $username . "festersalt").

Das ist u.U. praktisch, u.a.U. allerdings logistisch etwas problematisch. In Anwendungen, in denen der Username geändert werden kann, ist diese Lösung mehr oder weniger disqualifiziert (es sei denn, man verlangt vom User beim Ändern des Usernamen wiederum die Eingabe des Passwortes).

Viele Grüße,
der Bademeister