Ha jol ertem, akkor azzal noveled az entropiat, hogy tobb helyrol szedsz adatot.
De a rot13( md5("alma"+"korte"+"szilva") + sha1( base64( sha1("alma"+"korte"+"szilva"))) + sha256("alma"+"korte"+"szilva")) hiaba hosszu string, es nem visszafejtheto az "algoritmus" nelkul, nem lesz nagyobb a valtozekonysaga mint az alapjaul szolgalo 15 karakternek. Meg akkor sem, ha a harom, vagy tobb input mezo tartalmatol fugg, hogy milyen hash fuggvenyeket alkalmazol, vagy hogy hanyszor futtatod ra.
Az teny, hogy ad egy gyakorlati vedelmet, de elviekben nem helyes, mert a security by obscurity -n alapul. Kicsit olyan, mint a sozott hash. Ha valaki megtudja a saltot, bukta van. De mindenki arra epit, hogy a salt titokban marad, pont ezert hasznaljak.
Hasonloan "rossz" megoldast en is csinaltam. Webes portal html, js es php alapokon, semmi extra, kivetel az a kattanasom, hogy jelszo input mezo erteke nekem ne keruljon a drotra plain text formaban, mert https ide vagy oda, ez akkor is ciki. Ezert keszitettem egy hash erteket a jelszo + username ertekbol, majd ebbol es egy szervertol kapott ertekbol generalt chaptara adott valaszbol keszult egy ujabb hash, es ez utazott vissza a szerver oldalra.
Jol nezett ki a 40 karakteres sha1 ertek, tok secure-nak tunt, de egy hozzaerto biztosan a pohar utan nyul egy ilyen "megoldas" lattan. En ezzel ugy vagyok, hogy a security by obscurity-t akkor erdemes valasztani, ha az a kisebbik rossz, viszont tulsagosan bizni benne akkor sem szabad. Az ilyen megoldasok olyanok, mint a manko kerek az auton. Sokkal jobb, mint durrdefekt utan harom kerekkel slattyogni, de azert mankokerekkel nem furikazunk, mert az arokban kotunk ki. :-)