Wieder Bullshit und Bullshit, mit Bruteforce bekommt man jedes Passwort raus, Voraussetzung ist nur unendlich viel Zeit.
Verschlüsselung bringt da überhaupt nichts.
MD5, SHA und wie sie alle heißen haben keinerlei Effekt auf die Sicherheit des Logins.
Ich glaube ich verstehe was du im Kern meinst aber zumindest das letzte ist unhaltbar. Natürlich wird die Sicherheit erhöht wenn der Hashing-Algorithmus eine hohe Laufzeit (mehrere Sekunden) hat. Unendliche Zeit ist ein theoretisches Konstrukt. Es muss gar nicht diskutiert werden, dass wenn man Hürden aufbaut, es die Sicherheit erhöht, auch wenn es sie nicht komplett gewährleistet. Wenn du 5 Sekunden pro Login benötigst, dann musst du bei einem Passwort nur Gro/Kleinbuchstaben und genau 6 Zeichen im Schnitt Milliarden von Permutationen durchprobieren. Das müssen wir gar nicht mit konkreten Zahlen durchexerzieren, es ist offensichtlich, dass das einen Brut-Force-Angriff massive erschwert oder in der Praxis sogar unmöglich macht.
Du willst mir also erzählen, dass man durch Belastung des Servers eine höhere Sicherheit erzielt? Naja, im Grunde stimmt es, aber das hat nichts mit dem Hash zu tun. Eine künstliche Verzögerung würde das gleiche Ergebnis erzielen. Ob es benutzerfreundlich ist den User 5 Sekunden auf den Login warten zu lassen ist die andere Frage.
Oder lass die ganze Sache direkt sein, wenn man solche Fragen stellt, ist man nicht in der Lage ein CMS zu schreiben.
Der von dir unterstellte kausale Zusammenhang ist nicht korrekt. Es handelt sich um eine Art der Informationssuche. Ob man nun hier fragt oder Tutorials, Bücher, Dokumentationen liest, kann zum gleichen Wissen führen.
Solche Sicherheitsvorkehrungen sind elementare Dinge. Bevor man so etwas nicht verstanden hat sollte man nicht auf die Idee kommen ein CMS zu schreiben.
Wieso muss man eigentlich immer das Rad neu erfinden und greift nicht einfach auf altbewährtes zurück?
