Door Anoniem: Gehashed of niet, dit is niet zinnig. A-Z + 0-9 = 36 tekens. 36 tot de macht 5 = 605 miljoen verschillende combinaties op basis van de eerste 5 digits. Als de database 500 miljoen hashes bevat is de kans op collision op basis van de eerste 5 digits erg groot. Inderdaad, zoals al gesteld - goed lezen. Je zou zou het kunnen zien als een 'key-value' lookup , waarbij je een wildcard query doet met de eerste vijf hex-digits. Dus ala "select from HBIP where hash like 'a9bbf*' ' . En dan krijg je een behapbaar aantal records terug- en doe je zelf de vergelijking met de vollledige hash van het wachtwoord. Je ziet toch in de flow chart dat er bij een match op de prefix de suffix ook (-maar intern bij de BBC) vergeleken wordt ? Met deze methode lekt de BBC geen bruikbare informatie naar HBIP (ze sturen maar een klein deel van de hash van gekozen wachtwoord ). Zouden ze de hele hash sturen , dan krijg je een 100% antwoord of er een match is. Maar heb je ook de (hash van) al je wachtwoorden ...