Warum beschränkt live.com Passwörter auf 16 Zeichen? [geschlossen]

Geschlossen . Diese Frage ist meinungsbasiert . Derzeit werden keine Antworten akzeptiert.

Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage, damit sie mit Fakten und Zitaten beantwortet werden kann, indem Sie diesen Beitrag bearbeiten .

Geschlossen vor 2 Jahren .

Ich wollte eine @ live.com-E-Mail-Adresse registrieren, es wird jedoch darauf hingewiesen, dass keine E-Mail-Adresse mit einem Kennwort mit mehr als 16 Zeichen registriert werden kann.

Warum? Damit es einfacher wäre, das richtige Passwort zu bekommen? (Wenn die Passwort-Hashes gestohlen wurden.)

microsoft

— LanceBaynes
quelle

Ich habe diese Höchstzahl von 16 Zeichen auch auf anderen Websites gesehen. Wenn das Passwort gehasht gespeichert ist, sollte es in der Datenbank dieselbe Größe haben, unabhängig davon, wie das tatsächliche Passwort lautet. Warum also einschränken? Ich hoffe, es liegt nicht daran, dass sie die Passwörter ungeschützt speichern und 16 Zeichen die Größe des Datenbankfelds haben. Ich hoffe wirklich nicht.

— Rincewind42

Das Erzwingen eines 16-Zeichen-Passes ist einfacher als das Erzwingen eines größeren. (Sie wissen, es gibt russische Zahlstellen, diejenigen, die auf Brute-Force-Hashes spezialisiert sind)

— LanceBaynes

Dies ist interessant: IBM SQL- und XML-Datenbeschränkungen Die Zeile "Kennwortzugriff auf eine Datenquelle" hat eine maximale Länge von 32 Byte. Dies entspricht der Größe eines 16-stelligen Kennworts, nachdem ein MD5-Hash angewendet wurde.

— Rebecca Dessonville

Rincewind42 und Dez bringen wirklich interessante Punkte auf den Punkt; Keine dieser Möglichkeiten ist sicher.

— Patrick Klingemann

@Dez: Das Anwenden eines MD5 auf ein Kennwort mit 17 Zeichen umfasst weiterhin 32 Byte. Ein interessanterer Punkt könnte sein, dass 16 Zeichen in Unicode 32 Byte groß sind.

— musefan

Eigentlich, weil, wenn Sie ein Passwort md5, es einen Hash berechnet. Dann ist die Zeichenfolge länger als 16 Zeichen. Einige "Hashes" können zwischen ihnen kollidieren.

Zum Beispiel, wenn md5("noroof")gibt 9ce405c98406f2f6d5326ee6b51d19cd, ist es möglich, md5("ididntfixedmyroofwhenicould")dass das gleiche Hash geben könnte 9ce405c98406f2f6d5326ee6b51d19cd. Denken Sie daran, dass Hashes aus 32 Zeichen "0123456789abcdf" bestehen (in diesem Fall für md5).

Möglicherweise erzwingen sie 16 Zeichen, da der Algorithmus, der den Hash berechnet, sicherstellt, dass in der Datenbank keine Kollision mit einem zuvor gespeicherten Kennwort auftritt.

— Sein Sauerstoff
quelle

Ein Hash kann immer zu einer Kollision führen - wie Sie sagen, ist es möglich, dass ein Kennwort mit mehr als 17 Zeichen mit einem kürzeren Kennwort kollidiert. Es ist jedoch ebenso unwahrscheinlich, dass ein kurzes Kennwort kollidiert, und es ist unwahrscheinlich, dass ein langes Kennwort mit einem von Brute Force erratbaren kurzen Kennwort kollidiert. Es gibt keinen Grund zu der Annahme, dass lange Passwörter häufiger kollidieren als kurze Passwörter. Wenn es einen Grund zu der Annahme gäbe, dass der Hash sowieso tatsächlich kaputt ist.

— Ronald

Ronald hat recht, die akzeptierte Antwort ist einfach falsch. Die Wahrscheinlichkeit, dass MD5-Zeichenfolgen kollidieren, hängt nicht von ihrer Länge ab.

— Talkol