Perché live.com limita le password a 16 caratteri? [chiuso]

Chiuso . Questa domanda è basata sull'opinione . Al momento non accetta risposte.

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che possa essere risolta con fatti e citazioni modificando questo post .

Chiuso 2 anni fa .

Volevo registrare un indirizzo e-mail @ live.com, ma dice che non è possibile registrare un indirizzo e-mail con una password che contiene più di 16 caratteri.

Perché? In modo che sarebbe più facile ottenere la vera password? (se gli hash della password sono stati rubati...)

microsoft

— LanceBaynes
fonte

Ho visto questo limite massimo di 16 caratteri anche su altri siti. Se la password è memorizzata con l'hash, allora dovrebbe avere le stesse dimensioni nel database, indipendentemente dalla vera password, quindi perché limitare? Spero non sia perché stanno memorizzando le password senza vergogna e 16 caratteri sono le dimensioni del campo del database. Spero davvero di no.

— Scuotivento42

La forza bruta con un passaggio di 16 caratteri è più facile rispetto alla forza bruta di un passaggio più grande. (sai, ci sono siti di pagamento russi, quelli specializzati negli hash della forza bruta)

— LanceBaynes,

Ciò è interessante: Limiti dei dati IBM SQL e XML La riga "Accesso password a un'origine dati" ha una lunghezza massima di 32 byte che ha le stesse dimensioni di una password di 16 caratteri dopo l'applicazione di un hash MD5.

— Rebecca Dessonville,

Scuotivento42 e Dez sollevano punti davvero interessanti; nessuna di queste possibilità è sicura.

— Patrick Klingemann,

@Dez: l'applicazione di un MD5 a una password di 17 caratteri sarà comunque di 32 byte. Un punto più interessante potrebbe essere che 16 caratteri in Unicode sarebbero 32 byte.

— musefan,

In realtà perché quando md5 una password calcola un hash. Quindi la stringa è più lunga di 16 caratteri che alcuni "hash" possono scontrarsi tra loro.

Ad esempio, se md5("noroof")dà 9ce405c98406f2f6d5326ee6b51d19cdè possibile che md5("ididntfixedmyroofwhenicould")potrebbe dare lo stesso hash 9ce405c98406f2f6d5326ee6b51d19cd. Ricorda che gli hash sono composti da 32 caratteri di "0123456789abcdf" (per md5 in questo caso).

Forse forzano 16 caratteri perché l'algoritmo che calcola l'hash assicura che non avrà una collisione nel database con una password precedentemente salvata.

— Ossigeno di Senna
fonte

Un hash può sempre creare una collisione - come dici tu, è possibile che una password di 17+ caratteri si scontrerebbe con una password più breve. Tuttavia, è altrettanto improbabile che si scontrino come è improbabile che una password breve si scontrino, e una password lunga è improbabile che si scontrino con una password breve indovinabile. Non c'è motivo di credere che le password lunghe abbiano più probabilità di scontrarsi delle password brevi - se ci fosse qualche motivo per credere che, l'hash sarebbe effettivamente rotto in ogni caso.

— Ronald,

Ronald ha ragione, la risposta accettata è chiaramente sbagliata. La probabilità che le stringhe MD5 si scontrino non dipende dalla loro lunghezza.

— talkol,