Elég kicsi az esélye egy ütközésnek a néhány karakteres hosszúságú sztringeknél. Volt itt erről egy thread, elég sokan beégtek, szerintem ne is kezdjünk bele újra.
Ha van egy hash, akkor két opció van:
1) sikerül visszafejteni. Megvan a jelszó, az esetek 99%-ában ugyanaz lesz a user jelszava FB-n is. Ha a rainbow table visszadobja az "almafa" sztringet, és a "v924h98cj1cj2edj2j2&@ˇ[Đä[k" sztringet, akkor az első lesz a jelszó.
2) nem sikerül visszafejteni. End of story, vagy bruteforce.
Ha egy salt nélküli hsahből visszakövetkezteted a plaintext jelszót, akkor a kutyát nem érdekli, hogy adott esetben a FB überbiztonságosan tárolja a jelszavakat, mert simán a login formba beírod a cuccot, és bent vagy.
> Persze, az egész mögött ott a feltevés, hogy a rainbow table igen kis eséllyel adja vissza az eredeti jelszót
Ez kb. csak a rainbow table nagyságától függ, vannak elég jó cuccok odakint, amikben a hétköznapi userek jelszavai jó eséllyel meg lesznek.
> annyira nem légből kapott, azt hiszem
Nem, csak nem ez az átlag. :)