È, supponendo che l'hash sia della stringa completa . Guarda cosa succede quando usi una password hasher che usa solo i primi 8 caratteri del suo input (questa è la 'tradizionale' (salata) funzione hash della password Unix):
$ mkpasswd -s -S 00 <<<salt.password
002y63GMEzTFg
$ mkpasswd -s -S 00 <<<salt2.password
00OHzu67zQp/Q
Bene: questi due sono diversi.
$ mkpasswd -s -S 00 <<<password.salt
00xQPHYlVDIw6
$ mkpasswd -s -S 00 <<<password.salt2
00xQPHYlVDIw6
Spiacenti.
Nota sopra che sto passando un sale fisso a mkpasswd
; questo è così che il suo sale generato a caso non interferisce con il principio che sto dimostrando con salt
e salt2
anteposto o aggiunto alla password.
NB. Non sto suggerendo che qualcuno usi effettivamente la vecchia funzione crypt()
per le password di hashing - in parte per il problema di troncamento mostrato qui, ma anche perché il sale è troppo corto, l'hash risultante è troppo corto e l'algoritmo è molto troppo veloce per l'hardware di oggi (una funzione di hash della password deve essere lenta, per ostacolare il cracking, ma non così lentamente da frustrare gli utenti legittimi).