Also wenn ich mir das ansehe und schnell mal überprüfe ist das Passwort doch mit dem billigen Crypt_MD5 Allgo gehasht. Der 8Stellige Salt liegt plain im Hash vor.
md5(unix) ist nicht billig und das salt für jedes einzelne Passwort >muss< im Klartext vorliegen. Wenn es das nicht tun würde, müsste der Server jedesmal wenn du dich einloggst erst dein Passwort per bruteforce knacken um es überprüfen zu können...
Zum Vergleich:
Ich hab hier weiter oben das eine normale md5 Passwort geknackt, das lief mit ~980Mhash/s
Wenn ich mit der selben Grafikkarte eine Wörterbuchattacke (und nur die ist bei md5(unix) sinnvoll) auf die hashes starte liegt die Hashrate bei ~640.0k/s
Das ist alles andere als schnell oder billig...
Hoffentlich schicken die bei den Leuten mit Email eine Bestätigung zum PW ändern, nicht einfach alle freischalten. :/
Ich hoffe genau auf das Gegenteil*g ich hab keine Emailadresse bei der Registrierung angegeben....