Noch ein paar Infos zu billybob's post hier
http://www.modified-shop.org/forum/index.php?topic=13464.msg129288#msg129288und der Zeichenlänge von 60 für das Feld customers_password.
Ich bin bei Domain Factory, die ja wohl seit einiger Zeit auch zu Host Europe gehören. Auch hier wird per Standard Blowfish angeboten und genutzt - und genau das ist auch die empfohlene und laut Openwall
http://www.openwall.com/phpass/ sicherste Variante.
Steht wie bei Host Europe und DF Blowfish zur Verfügung auf dem Server, wird das von PHPass genutzt. Steht Blowfish als Hash-Verfahren nicht zur Verfügung gibt es zwei Fallback-Szenarien bei PHPass, die letzte ("schlechteste") Stufe ist selbst in PHPass implementiert und ist ein MD5-basiertes Verfahren mit Salt und variablen Iterationen.
Genau das letztgenannte Verfahren erzeugt dann Hashwerte mit 34 Zeichen, die alte Table-Größe unserer Datenbank hätte gereicht. Blowfish-basierte Hashwerte haben genau 60 Zeichen - deshalb ist die Änderung der Feldlänge sinnvoll. Ob Blowfish unterstützt wird, lässt sich im Admin-Bereich unter Serverinfo nachschauen, einfach nach "blowfish" suchen.
Ich habe zum Thema Hashverfahren an anderer Stelle im Forum schon was geschrieben
http://www.modified-shop.org/forum/index.php?topic=24460.msg280740#msg280740. Im Gegensatz zum Standard-MD5 im Shop bremst schon das genannte letzte Fallback-Verfahren mit PHPass das Cracken von Passwörtern um den Faktor 4.500 aus.
Blowfish ist noch besser: Es ist dem Fallback-Verfahren noch mal um den Faktor 500 überlegen.
Letzter Satz und endgültiges Argument für das tolle Modul. Bietet der Server Blowfish, bremst es das Cracking um den Faktor 2,25 Millionen im Vergleich zum Standard-MD5 aus!
