Снова потестил. Нашел небольшую багу. В базу можно добавить пароль длинной больше чем позволяет поле для добавления. Это приводит к интересной ситуации. Вот пример:
сравните два пароля от двух РАЗНЫХ хешей
1d019d123a89134e8cb5086a1b450969
d234b1631a32fe68a13aa40214ce1f2e
На первый взгляд кажется что это коллизия, но на самом деле пасс от первого хеша -
red111111111111111111111111111111red и при этом он лежит в базе, но не выводиться полностью.