On 8/21/07, <b class="gmail_sendername">Smoot Carl-Mitchell</b> <<a href="mailto:smoot@tic.com">smoot@tic.com</a>> wrote:<div><span class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Tue, 2007-08-21 at 14:25 +1000, Michael James wrote:<br><br>> /etc# cat shadow<br>> root:*:13661:0:99999:7:::<br>> daemon:*:13621:0:99999:7:::<br>> bin:*:13621:0:99999:7:::<br>> <snip lots more system entries>
<br><br>It is not a good idea to reveal your password hashes (I have removed<br>them from this email).  The MD5 hashing algorithm used to generate the<br>hashes in GNU/Linux systems is fairly strong, but can be broken with a
<br>brute force type attack which is much simpler if you know the password<br>hashes. I'd suggest changing your password, since everyone on the list<br>now knows your password hashes.  This is the principal<br>reason /etc/shadow is protected from normal users.
<br><br>The '*" in the second field could be any character, since a single '*'<br>is not a legitimate password hash. In practice the '*' is used<br>conventionally to indicate a locked account.<br>
<br>For a quick introduction to the various Unix/Linux password hashing<br>schemes see: <a href="http://en.wikipedia.org/wiki/Crypt_(Unix)">http://en.wikipedia.org/wiki/Crypt_(Unix)</a><br>--<br>Smoot Carl-Mitchell<br>System/Network Architect
<br>email: <a href="mailto:smoot@tic.com">smoot@tic.com</a><br>cell: +1 602 421 9005<br>home: +1 480 922 7313<br><br></blockquote></div>Are those really Md5 hashes?  I thought (correct me if i'm wrong) that an md5 hash was exactly 32 bytes of hexadecimal.
<br><br>