Newer versions of Bugzilla use an MD5-hash with salt, I believe. So they might have been even safer if they had upgraded.<div><br></div><div>-Guy<br><br><div class="gmail_quote">On Wed, Apr 14, 2010 at 6:18 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">We rock:<br>
<a href="https://blogs.apache.org/infra/entry/apache_org_04_09_2010" target="_blank">https://blogs.apache.org/infra/entry/apache_org_04_09_2010</a><br>
<br>
"JIRA and Confluence both use a SHA-512 hash, but without a random salt. We believe the risk to simple passwords based on dictionary words is quite high, and most users should rotate their passwords.<br>
<br>
Bugzilla uses a SHA-256, including a random salt. The risk for most users is low to moderate, since pre-built password dictionaries are not effective, but we recommend users should still remove these passwords from use."<br>

<br>
Gerv<br>
_______________________________________________<br>
dev-apps-bugzilla mailing list<br>
<a href="mailto:dev-apps-bugzilla@lists.mozilla.org" target="_blank">dev-apps-bugzilla@lists.mozilla.org</a><br>
<a href="https://lists.mozilla.org/listinfo/dev-apps-bugzilla" target="_blank">https://lists.mozilla.org/listinfo/dev-apps-bugzilla</a><br>
-<br>
To view or change your list settings, click here:<br>
<<a href="http://bugzilla.org/cgi-bin/mj_wwwusr?user=guy.pyrzak@gmail.com" target="_blank">http://bugzilla.org/cgi-bin/mj_wwwusr?user=guy.pyrzak@gmail.com</a>><br>
</blockquote></div><br></div>