Ah, did we recently upgrade from the MD5 then? I just know we changed our password hashing method recently.<div><br></div><div>-Guy<br><br><div class="gmail_quote">On Wed, Apr 14, 2010 at 8:49 AM, Reed Loden <span dir="ltr"><<a href="mailto:reed@reedloden.com">reed@reedloden.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On Wed, 14 Apr 2010 10:15:41 -0400<br>
Guy Pyrzak <<a href="mailto:guy.pyrzak@gmail.com">guy.pyrzak@gmail.com</a>> wrote:<br>
<br>
> Newer versions of Bugzilla use an MD5-hash with salt, I believe. So they<br>
> might have been even safer if they had upgraded.<br>
<br>
</div>No, SHA-256 hash with per-user unique salts is what current Bugzilla<br>
trunk (since 3.4, iirc) uses. MD5 hash is bad and should be avoided at<br>
all costs. We could technically swap to SHA-512, but I'm not sure it's<br>
worth it for what little extra "protection" would be gained (vs. the<br>
cost of computing the hash).<br>
<br>
~reed<br>
<font color="#888888"><br>
--<br>
Reed Loden - <<a href="mailto:reed@reedloden.com">reed@reedloden.com</a>><br>
</font><div><div></div><div class="h5"><br>
_______________________________________________<br>
dev-apps-bugzilla mailing list<br>
<a href="mailto:dev-apps-bugzilla@lists.mozilla.org">dev-apps-bugzilla@lists.mozilla.org</a><br>
<a href="https://lists.mozilla.org/listinfo/dev-apps-bugzilla" target="_blank">https://lists.mozilla.org/listinfo/dev-apps-bugzilla</a><br>
-<br>
To view or change your list settings, click here:<br>
<<a href="http://bugzilla.org/cgi-bin/mj_wwwusr?user=guy.pyrzak@gmail.com" target="_blank">http://bugzilla.org/cgi-bin/mj_wwwusr?user=guy.pyrzak@gmail.com</a>><br>
</div></div></blockquote></div><br></div>